Telefónica, Iberdrola, Banco Santander, Decathlon, Ticketmaster y la Dirección General de Tráfico (DGT) tienen algo en común: han sido objeto de ciberataques en las últimas semanas. Un hecho que preocupa tanto a las entidades como a la población, cuyos datos sensibles pueden estar cada vez más expuestos ante el aumento de estas amenazas. Y es que los hackeos se han intensificado con el tiempo, algo que advierten expertos y organismos de ciberseguridad.
El año pasado, el Centro Criptológico Nacional (CCN-CERT) gestionó 107.777 incidentes, según el Informe Nacional de Seguridad Nacional 2023 del Departamento de Seguridad Nacional. Por su parte, el Instituto Nacional de Ciberseguridad (Incibe) registró unas 58.000 incidencias que afectaron a la ciudadanía (usuarios de internet) y otras 22.000 a empresas privadas (incluidas pymes, micropymes y autónomos). Estos ataques se han incrementado en los últimos años, sobre todo desde la transformación digital derivada de la pandemia.
Los datos del CCN-CERT muestran de hecho que de 2019 a 2020 se doblaron las incidencias registradas: pasaron de 42.997 a 82.530. Tal como explica a 20minutos José Antonio Sánchez, director de Ventas para España y Portugal de la plataforma de detección de amenazas Claroty, la covid-19 aceleró la aplicación de tecnologías en muchas organizaciones, lo que "amplió la superficie de ataque y aumentó en consecuencia la exposición a posibles vulnerabilidades".
Desde entonces, los incidentes se han vuelto más habituales y complejos. De hecho, el número de ciberataques gestionados por el CNN-CERT en 2023 superó los 100.000 por primera vez desde que hay registros. Esto supone un alza del 94% respecto al año anterior y del 1.385% respecto a hace diez años, cuando se registraron 7.259 incidentes en total.
Esta tendencia creciente no solo se observa en la frecuencia, sino también en la intensidad de los ciberataques, según trasladan a este medio diferentes fuentes consultadas. Además de Sánchez, entre ellas se encuentra Leticia Flores, responsable de Ciberseguridad de Siemens en España, y Pablo Gracia, técnico de Ciberseguridad para Empresas de Incibe. Los tres coinciden en las causas que explican esta situación.
"Este incremento se debe en parte al proceso de transformación digital en el que está inmersa la sociedad y a que los cibercriminales desarrollan ataques más sofisticados y están mejor organizados", manifiesta Gracia, a lo que Flores agrega las tensiones geopolíticas. Ella puntualiza asimismo que esto no solo afecta al territorio español, sino que es "un aumento observado a nivel europeo y que está en línea con la tendencia global".
También las nuevas regulaciones, como el Reglamento General de Protección de Datos (GDPR) o la Directiva sobre la Seguridad de las Redes y de la Información (NIS) obligan ahora a las empresas a reportar los incidentes, tanto los usuarios afectados como a las autoridades competentes, añade el técnico de Incibe. Esto hace que los incidentes tengan más visibilidad.
Una "bola de nieve" que se hace más grande
Jordi Serra, profesor de Ciberseguridad, Privacidad y Ciberdelincuencia de la Universitat Oberta de Catalunya (UOC), advierte que, además de lo expuesto anteriormente, el impulso de estos ataques se debe a la interconectividad entre sistemas y organismos, lo que permite generar una especie de "bola de nieve" que se va a haciendo cada vez más grande. "Cuando un delincuente entra a una empresa por una brecha de seguridad, de ahí puede acceder a información de otras compañías, como proveedores o socios a los que también podrá atacar", concreta.
Como ejemplo, Serra apunta a los correos electrónicos con un proveedor: un ciberdelincuente accede a los mails de un trabajador de una compañía y observa cómo es el modelo de factura y el lenguaje que utiliza. Una vez estudiado, envía a sus contactos un mensaje adecuado al contexto en el que se suele desarrollar la conversación. "La factura que enviamos hace dos días era errónea, adjunto la buena", puede ser una frase cebo tipo. "Entonces, la persona que recibe el nuevo documento lo abre y, a partir de ahí, el atacante ya entra a la red empresarial o mete el virus".
"Los ataques son mucho más dirigidos, personalizados y sin hacer ruido porque los hackers saben cómo es el patrón que tienen que seguir", sostiene el docente de UOC al añadir que se está sofisticando. "Antes usaban un castellano mal traducido y no te lo creías, pero ahora no solo han perfeccionado el español, sino que los mensajes en catalán, euskera o gallego están escritos de manera perfecta, sin faltas y con un contexto muy bueno".
Sectores más vulnerables
Los sectores más vulnerables suelen ser aquellos que manejan grandes volúmenes de datos sensibles y críticos, por lo que el sector financiero, sanitario, energético, industrial, tecnológico, la administración pública y las infraestructuras críticas son los que tienen más posibilidades de ser atacados, según los expertos. "Las empresas de servicios son las de más riesgo, ya que muchas subcontratan o tienen relaciones con otras y, al final, los delincuentes buscan atacar todas las compañías que puedan", expresa Serra.
En 2023, los incidentes sufridos por operadores esenciales y críticos para la sociedad sumaron un total de 237: el 25,42% estuvo dirigido a sistemas financieros y tributarios; el 25%, al transporte; el 22,08%, a la energía; el 18,33%, a las Tecnologías de la Información y Comunicación (TIC), y el 4,58% al agua. La mayoría fueron acciones maliciosas, aunque también se detectaron casos provocados por fallos en sistemas y errores humanos, según el Balance de Ciberseguridad 2023 de Incibe.
Las pymes también se presuponen más vulnerables debido a que los recursos para invertir en medidas de ciberseguridad son más limitados, haciéndolas "más susceptibles a una mayor variedad de tipos de ataque", expone Flores. "Estas empresas están registrando un incremento en el número de ataques en los últimos años, lo que ensalza la necesidad de inversión y apoyo de las administraciones para hacer frente a estas amenazas".
Del mismo modo, el técnico de Incibe asegura que también "tiene que ver mucho con la situación de la empresa y/o el tiempo" en el que se dirige el ataque. "Los ciberdelincuentes aprovechan las situaciones del mercado para poder hacer estos ciberataques mucho más dirigidos", manifiesta García y pone de ejemplo que, en una época de compras, como Navidad, aprovechan para atacar o suplantar comercios electrónicos o empresas de transporte.
Los ciberataques más comunes
Entre las actividades ciberdelictivas más frecuentes hacia las compañías españolas, las fuentes consultadas señalan el ransomware, la suplantación de identidad y los ataques de denegación de servicio (DDoS). Incidencias que también recoge el informe del Departamento de Seguridad Nacional, aunque a su vez destaca las estafas de soporte técnico e inversiones y los ataques a correos electrónicos corporativos.
"El ransomware es un tipo de malware que cifra los datos de la víctima de un dispositivo con el objetivo de exigir un rescate económico para desbloquearlos", detalla la portavoz de Siemens. Los DDoS, en cambio, interrumpen los servicios y operaciones de una empresa, como, por ejemplo, que un sistema o página web quede indisponible durante un tiempo determinado.
La suplantación de identidad ocurre cuando los atacantes se hacen pasar por entidades legítimas para engañar a las víctimas y obtener información confidencial, como nombres de usuario, contraseñas y datos bancarios. "Lo suelen hacer mediante correo electrónico (phishing), mensajes de texto (smishing) o incluso llamadas telefónicas (vishing)", concreta Gracia.
Todos estos ataques, entre otros, supusieron el año pasado en España más de 1.400 accesos no autorizados a datos importantes, como contraseñas, números de tarjetas de crédito o información personal, así como más de 8.800 accesos e intentos de acceso no autorizados a información de una red o sistema informático de empresas o de la ciudadanía. De igual modo, se registraron más de 9.000 ataques que inutilizaron los dispositivos de organizaciones o ciudadanos y más de 26.000 dispositivos fueron dañados por software malicioso.
"La finalidad de estos ataques varía, desde el lucro económico mediante el pago de rescates, el espionaje industrial, hasta la interrupción de operaciones críticas", comenta el experto de Claroty, a lo que desde Siemens agregan el robo de datos y/o de propiedad intelectual y la disrupción de servicios. "Cierto es que también hay ataques con un carácter más reivindicativo, más idealista o geopolítico, pero principalmente lo que se busca es monetizar la actividad", incide el técnico de Incibe.
Ahora bien, los ciberatacantes suelen tener sus objetivos claros. Serra asegura que los hackers que están detrás pertenecen a organizaciones internacionales, normalmente radicadas en Asia o Europa del Este. "Estos grupos están muy jerarquizados y contratan a especialistas en cada país para llevar a cabo determinadas ciberactividades delictivas", apunta. Así lo refleja también el Departamento de Seguridad Nacional, que indica que la diversificación de los implicados en este tipo de delincuencia organizada es mucho mayor de lo que se pensaba.
El factor humano y el tecnológico, igual de importantes
Para protegerse ante potenciales ciberataques, las empresas y organizaciones implementan un abanico de medidas de seguridad que abarcan tanto aspectos técnicos y tecnológicos como organizativos. Firewalls, sistemas de detección y prevención de intrusiones (IDS/IPS) o cifrado de datos son algunas de ellas. Sin embargo, los expertos aluden a la necesidad de la concienciación y preparación a la ciudadanía.
"Formar al empleado en prácticas seguras y en conocimiento para saber identificar y reportar intentos de phishing u otras amenazas es clave", comenta Flores, aunque reconoce que este aspecto ha mejorado "considerablemente" en los últimos años. "La formación en materia es uno de los puntos débiles y debe afrontarse como una inversión, sabemos que la falta de presupuesto en ciberseguridad supone un reto al que se debe hacer frente, ya que a la larga nos va a dar beneficios", expone asimismo Gracia.
A juicio de las fuentes, las grandes compañías están más avanzadas en cuanto a ciberseguridad, mientras que las pymes presentan una mayor variabilidad debido a los recursos más limitados o a la escasez del conocimiento necesario para implementar medidas adecuadas y mantenerse al día. "Las pymes infravaloran la seguridad porque piensan que, como son pequeñas, nadie va a querer atacarlas, pero se equivocan", avisa el profesor de UOC.
"Las principales debilidades incluyen la escasez de recursos, la necesidad de capacitación constante, la gestión proactiva de vulnerabilidades, la promoción de una cultura de seguridad y la mejora de la respuesta a incidentes y la colaboración entre sectores", exponen desde Siemens. A esto se sumaría la falta de una estrategia integral ante incidentes, según Claroty: "Muchas empresas todavía adoptan un enfoque reactivo, respondiendo a incidentes en lugar de prevenirlos".
Y es que los ciberataques pueden tener graves consecuencias tanto para las compañías como para sus clientes. "Para las empresas, puede resultar en pérdidas financieras significativas, interrupciones operativas, daños a la reputación y costos elevados de recuperación y cumplimiento", indica el experto de Incibe. Y señala igualmente que, para los clientes, las consecuencias incluyen el robo de datos personales y financieros, pérdida de confianza en la empresa y posibles fraudes o suplantaciones de identidad.