Texto de Daniel Vidal, abogado especialista en Derecho de Nuevas Tecnologías, y Laura Marín, consultora en comunicación especializada en estrategia y contenido digital.

Son demasiado habituales los fallos en la protección de la información, con significativas consecuencias legales, económicas y de reputación para las empresas.

Hace ya muchos años, el director del FBI declaró solemnemente: “Hay dos tipos de empresas: las que han sido hackeadas y las que lo serán”. Unos años más tarde dicho mensaje necesitó de una ligera pero significativa actualización, transformándose en “Hay dos tipos de empresa: las que han sido hackeadas y lo saben; y las que lo han sido, pero aún no lo saben”.

Y es que resulta innecesario explicar la importancia que hoy en día tienen internet y los dispositivos digitales en cualquier empresa. Sea cual sea el sector en el que se opere, todo está digitalizado e interconectado, albergando los ordenadores y los servidores de las empresas información vital para su funcionamiento de las mismas.

Conviene, pues, exponer un somero resumen respecto de cómo deben actuar las empresas en materia de ciberseguridad. El objetivo, reducir las cifras de empresas víctimas de un ciberdelito –que actualmente se cuenta en 9 de cada 10 compañías–, y reducir los costes que supone cada uno de esos ataques –aproximadamente en 20.000 euros de media–.

Orígenes de las incidencias

Pese a que los principales esfuerzos en ciberseguridad se realizan protegiéndose frente a eventuales ataques de terceros (los temidos hackers), la realidad muestra como son mayoría –hasta el 80%– los ataques y problemas causados internamente, por personal o expersonal de las empresas.

Así, no son infrecuentes los trabajadores descontentos, avariciosos o exempleados (en muchas ocasiones, con incomprensible acceso aún a los recursos informáticos de la empresa) que acceden a información empresarial reservada (listas de clientes, precios, proyectos, informes, entre otros) con fines espurios, contando muchas veces con la inexcusable colaboración –por desconocimiento o inobservancia de las medidas de seguridad más elementales– de las propias empresas afectadas.

Por ello, conviene recordar la conveniencia y obligación de que las empresas dispongan de unos mínimos protocolos documentados respecto del uso correcto de los dispositivos técnicos a los que sus trabajadores tienen acceso, estableciendo unas pautas de comportamiento sobre cómo deben ser utilizados para, entre otros aspectos, minimizar riesgos de mal uso de los mismos.

Tales protocolos, además de permitir una mejor gestión de los dispositivos técnicos, ayudan a que las propias empresas, de acuerdo con sus específicas necesidades, establezcan los mecanismos que más óptimos les resulten en estos aspectos, permitiéndoles así tanto una mejor supervisión de tales usos (solo se puede controlar aquello que se conoce y se tiene identificado) como una mayor diligencia legal.

Vulnerabilidades

En muchas ocasiones, los problemas son causados por lo que se denomina “vulnerabilidades”, esto es, ataques a los sistemas aprovechándose de fallas en los mismos, bien sea, por ejemplo, por no disponer de las versiones más actualizadas de los sistemas operativos o de programas específicos “de defensa” (antivirus y similares).

La no actualización de los sistemas informáticos (sistemas operativos en ordenadores y servidores, tanto de las redes internas como de los servidores de correo electrónico o páginas web) implica un elevado riesgo de ser aprovechados por terceros conocedores de dicha desactualización (algo por otro lado técnicamente muy sencillo de conocer).

Asimismo, alojar la página web de la empresa y el correo electrónico en el mismo ordenador o servidor, o que los programas gestores de los emails sirvan de facto como archivo de multitud de información que ya ni debería constar ahí (¿para qué queremos en el correo electrónico almacenar emails de hace ya unos años?), son elementos tristemente habituales en muchas intrusiones de sistemas que potencian exponencialmente las nefastas consecuencias de tales intromisiones.

Ingeniería social

En otras ocasiones, nada como el factor humano para poder atacar a un sistema. Así, no son pocos los problemas causados por el uso de la misma contraseña para diferentes servicios o por utilizar como contraseña palabras o combinaciones de fácil deducción.

Al mismo tiempo, la confianza con la que solemos actuar es aprovechada por terceros que se pueden hacer pasar por nuestros habituales interlocutores, suplantando sus identidades mediante llamadas, correos electrónicos, SMS o webs falsas que, sin embargo, tienen una apariencia de veracidad.

Falsas campañas de phishing que a través de emails o SMS de bancos o proveedores de servicios que nos solicitan que accedamos a “sus webs” para así recoger los datos de acceso (usuario/contraseña) son muy habituales durante todo el año.

Es también muy conocida la denominada “estafa del CEO”, un buen paradigma de dicha ingeniería social. Disponiendo de la información de que un directivo (o el CEO) de una compañía está fuera de la ciudad (bien porque él/ella mismo/a así lo ha anunciado en sus redes sociales o por cualquier otra fuente de información), un tercero se hace pasar por dicho directivo simulando no solo su dirección de email sino también incluso su manera de escribir, aludiendo incluso a detalles de hechos reales para solicitar al departamento de administración una transferencia urgente por un motivo plausible. Obvia decir que una vez la transferencia ha sido hecha, su rastro se difumina y el dinero difícilmente se recupera. Según estimaciones del FBI, hasta 1.800 millones de euros se han estafado de este modo, con muchas empresas catalanas y españolas entre las víctimas, siendo reacias en muchas ocasiones a denunciar por la vergüenza de lo sucedido.

Otras estafas basadas en el presunto registro de marcas o de dominios de internet son asimismo habituales.

Ransomware

Un tipo creciente de amenaza en el ámbito de la ciberdelincuencia lo constituye el ransomware, un tipo de ataque a los sistemas informáticos de las empresas que se caracteriza por hacer inaccesible la información contenida en dichos sistemas si no se abona previamente determinadas sumas de dinero (“un rescate”) a los atacantes.

La información no es borrada de los ordenadores, sino que es encriptada de un modo que la hace inútil para la empresa, que no puede operar sin ella, bloqueándola totalmente (salvo que disponga de recientes copias de seguridad). Es la modalidad de ataque que se encuentra más en auge, afectando a todo tipo de empresas y numerosas instituciones públicas, y que incluso se realiza por personas con limitado conocimiento técnico, ya que es posible llevarlo a cabo mediante la modalidad “Ransomware-as-a-service” (RaaS), es decir, facilitar la venta del software necesario para dicho ataque para que cualquiera pueda esparcirlo por sí mismo y cobrar la recompensa.

Dependencia de terceros

Todas estas situaciones pueden tener un origen propio (situaciones generadas en sistemas propios) o derivar de afectaciones de terceros con quienes nos encontremos vinculados. Así, si nuestra página web, por ejemplo, contiene plug-ins de terceros, o si nuestra red informática accede o se conecta con aplicaciones o redes de terceros, las debilidades o problemas de dichos terceros pueden afectar a nuestros sistemas.

Es imprescindible, en consecuencia, velar también por la adecuada selección en base a criterios de seguridad informática sobre aquellos proveedores que puedan incidir en nuestros sistemas.

Responsabilidad legal

Es importante que las empresas y sus dirigentes recuerden el deber legal de la adecuada diligencia en estos ámbitos y de la responsabilidad administrativa, civil e incluso penal en las que pueden incurrir si se pone de manifiesto la ausencia de las medidas adecuadas por parte de tales empresas en la prevención y evitación de los hechos.

Así, además de pérdidas económicas por el lucro cesante en caso de ataques que impidan el normal desarrollo de la actividad empresarial (ataques de denegación de servicio, por ejemplo) o de los costes de los incumplimientos contractuales en los que, en su caso, se incurra ante estas situaciones, las empresas deben entender que cualquier ataque puede provocar incluso la fallida global de la empresa.

En definitiva, en materia de protección de datos es imprescindible entender la necesidad de realizar funciones de reconocimiento interno acerca de la naturaleza de los datos que se poseen (evaluación de impacto), invertir en medidas de seguridad y tener asimismo claro cómo debe actuarse en supuestos de “brechas de seguridad”.

Los ciberataques más sonados

El fraude online no es nuevo, pero parece que va en aumento a medida que nuestra vida digital se incrementa. Así lo muestran las cifras de cierre de 2018, cuando se alcanzó un máximo histórico de vulnerabilidades reportadas: más de 16.000, lo que equivaldría a unas 46 al día.

La mayoría de estos ciberataques ni siquiera salen a la luz. No obstante, sí hay muchos especialmente famosos o memorables que ocuparon hasta las primeras páginas en los informativos –y que llegaron a afectar a miles y miles de usuarios al mismo tiempo–. Entre ellos, el conocido como Titan Rain, que en 2004 consiguió realizar varias incursiones cibernéticas en Estados Unidos, llegando incluso a infiltrarse en las redes y ordenadores de la NASA. Este ataque no solo consiguió infiltrarse en la inteligencia militar y en datos clasificados, sino que permitió a otros hackers y entidades de espionaje encontrar la manera de inhabilitar varias máquinas de estos organismos.

Un poco más tarde, en 2011, se cometieron varios ciberataques famosos. Uno fue el que afectó a PlayStation y que inhabilitó algunas funciones de su conexión a internet, llegando a afectar a 77 millones de cuentas durante 23 días. La empresa confirmó en su momento que este ataque le había supuesto un costo de alrededor de los 100 millones de euros. El mismo año, Epsilon fue la fatal protagonista de uno de los ciberataques más caros de la historia, con un coste de 3.000 millones de dólares. El objetivo de los hackers fueron cuentas de correo electrónico con fines criminales.

Heartbleed y Yahoo coinciden en tener un ataque prolongado durante dos años. Así, en la primera un bug escrito por error en Open SSL le provocó una brecha de seguridad que rápidamente fue descubierta por un grupo de hackers que pronto accedió a emails y conversaciones privadas de usuarios. Tardaron dos años en detectarlo a través de Google Security. De la misma manera, Yahoo anunciaba en 2014 que más de 500 millones de sus usuarios habían sido objeto de ataque por parte de hackers durante los dos últimos años.

Otro ciberataque bien sonado fue Celebgate en 2014, que provocó la publicación de cientos de fotografías de más de 300 actrices, cantantes, modelos y famosas desnudas –entre ellas Jennifer Lawrence, Kaley Cuoco, Kate Upton o Rihanna–. Las fotografías habían sido robadas de las cuentas personales de iCloud de cada una de ellas y recopiladas pacientemente y publicadas a cambio de Bitcoins. Aunque en un principio se apuntó a un fallo de seguridad del sistema Apple, la compañía aseguró que los hackers atacaron las contraseñas de las cuentas de las víctimas. Y así se demostró con la detención de Ryan Collins, ya condenado a 18 meses de cárcel.

Hablando de intimidades, otro ciberataque muy llamativo fue el de Ashley Madison. “Somos Impact Team. Tenemos el control de todos los sistemas en todos sus dominios de las oficinas y de producción, todas las bases de datos con información de clientes, repositorios de código fuente, registros financieros y correos electrónicos”, fue el mensaje que los hackers enviaron a los empleados de la compañía en 2015. También había varias exigencias, como el cierre de la web, para que los datos robados no fueran publicados. La compañía no cedió al chantaje y los hackers cumplieron su promesa dejando al descubierto los datos de más de 30.000 usuarios de la web de citas. Los miles de usuarios cuya identidad y gustos sexuales fueron expuestos, plantearon una demanda colectiva contra la compañía de 576 millones de dólares.

Ese mismo 2015 el Gobierno de Estados Unidos de nuevo fue el centro de atención del mundo hacker. Una brecha de seguridad que nunca fue explicada en su totalidad en las redes de la Oficina de Gestión de Personal dejó al descubierto “información sensible” de 21,5 millones de funcionarios, asesores, civiles y sus respectivos contactos incluyendo nombres, números de la seguridad social, contraseñas y huellas digitales.

Y aunque la lista es larga, finalizamos estos ejemplos de famosos ciberataques con Bitstamp, un ciberasalto perpretado en 2015 que pasará a la historia por ser la primera gran operación criminal cuyo objetivo no era el dinero en metálico, sino los Bitcoins, consiguiendo poner en duda la credibilidad de esta nueva moneda virtual. En este ataque, los hackers tuvieron acceso a varios servidores de la compañía y robaron 19.000 Bitcoins, el equivalente a 5 millones de dólares. Las pérdidas para la empresa no se limitaron a lo virtual y tuvieron un fuerte reflejo en el mundo real, ya que BitStamp perdió clientes y sufrió daños por más de 2 millones de dólares, a los que hay que sumar otro medio millón gastado en la investigación y en levantar la nueva plataforma y otros 150.000 dólares en honorarios de consultoría y asesoramiento.