Entrevistamos a Javier Martí, responsable de ciberseguridad en Secure&IT, en una conversación que vira en torno al debate de más actualidad: el ciberatraco y petición de rescate al Ayuntamiento de Sevilla. Un ejemplo de un problema global que convierte al cibercrimen en una actividad muy jugosa para piratas. De hecho el dinero que mueve es cercano al 1,5 % del PIB mundial.
¿El “secuestro electrónico” de administraciones públicas es algo más frecuente de lo que conocemos?
El cibercrimen es un “negocio” que mueve mucho dinero. Ha alcanzado un valor global cercano al 1,5% del PIB mundial. Ha llegado al billón de dólares, superando la suma de los otros tres grandes “motores” económicos en el mundo del crimen: el tráfico ilegal de armas, la trata de seres humanos y el mercado ilegal de drogas.
Por desgracia, este tipo de ataque es mucho más frecuente de lo que pensamos. En los últimos años, los incidentes han aumentado en un 200% y más de la mitad de las organizaciones han experimentado, en algún momento, un ataque de ransomware. De hecho, se dice que el ransomware afecta a un negocio cada 30 segundos.
¿Qué ataques son más frecuentes en el sector público?
Existen muchos tipos de ataque, pero, por su impacto y relevancia, podemos hablar de un «top 3» en la actualidad. El ransomware es uno de los más destacados. Es más, se calcula que afecta a un negocio cada dos segundos. Hay organizaciones muy activas, como Lockbit3 (el grupo de ciberdelincuentes que, presuntamente, se encuentra detrás del ciberataque al Ayuntamiento de Sevilla), que están involucradas en la mayor parte de estos ataques.
El conocido como “fraude al CEO” también ocupa uno de los primeros puestos. Se trata de un ataque de suplantación de identidad muy elaborado que, aunque no es nuevo, está muy presente en la actualidad. En tercer lugar, se encuentra el ataque de Denegación de Servicio Distribuido (DDoS). Grupos de ciberdelincuentes como «NoName» (un grupo prorruso) están llevando a cabo ataques de este tipo dirigidos a infraestructuras públicas y privadas en varios países a nivel internacional. Incluso, cuentan con un canal de Telegram en el que publican sus ataques y sus víctimas.
¿Qué consecuencias podría tener este ciberataque?
Un ciberataque tiene múltiples consecuencias. Si hablamos del plano operativo, en el caso del ciberataque al Ayuntamiento de Sevilla, puede afectar gravemente al funcionamiento de los servicios públicos (oficinas virtuales, recaudación, servicios de emergencia, etc.). El impacto económico también puede ser muy alto: costes como el rescate, la recuperación y restauración de sistemas y datos, la pérdida de ingresos debido a la inactividad, posibles sanciones por incumplimiento normativo, etc.
Y, por supuesto, el daño reputacional es importantísimo, puesto que el prestigio y la confianza en la organización se ven gravemente afectados. Además, desde una perspectiva legal, un ataque de ransomware puede desencadenar investigaciones regulatorias, sanciones, demandas de clientes afectados y posibles responsabilidades legales si no se ha cumplido con la normativa.
También es una novedad para la ciudadanía que pidan encima un rescate. ¿Es algo normal?
Si, es algo normal, sobre todo en los últimos años. En el caso del ransomware, el ataque suele ir unido a una extorsión. Es decir, para poder recuperar la información cifrada por este tipo de malware, es necesario pagar una cierta cantidad a los a los ciberdelincuentes.
Nos encontramos, por tanto, ante una doble extorsión. Por un lado, nos cifran la información y por otro existe una exfiltración de esos datos. De esta forma, los atacantes los atacantes piden un rescate si no queremos que los datos se vean expuestos en la Darkweb.
¿Qué recomienda hacer ante este tipo de situaciones? ¿Es aconsejable proceder al pago?
Rotundamente no. Y existen varias razones para no hacerlo. En primer lugar, el pago del rescate puede considerarse una infracción. De hecho, en nuestro Código Penal se considera un delito de financiación a grupos terroristas. Además, el acto de pagar un rescate contribuye al crecimiento de la ciberdelincuencia.Tampoco podemos olvidar que estamos tratando con delincuentes y no tenemos ninguna garantía de que cumplan con lo establecido. Tres de cada cuatro empresas que acceden a pagar el chantaje no logran recuperar su información.
Y más allá de lo coyuntural, ¿Qué medidas debe tomarse?
Es muy importante implantar controles que mitiguen la exposición al riesgo. Para ello, existen diferentes normas que nos ayudan en esta tarea. En el caso del sector público tenemos el Esquema Nacional de Seguridad (ENS) que, además, es de obligado cumplimiento. en dicho real decreto, tenemos una serie de controles que nos ayudarán a reducir el riesgo.
La formación también será importante, no solo será una cuestión presupuestaria, ¿verdad?
Por supuesto, la formación, concienciación y sensibilización es uno de los pilares fundamentales de la seguridad de la información. Algunos informes revelan que el 80% de las organizaciones han sufrido, al menos, una brecha que podría estar relacionada con falta de habilidades y formación. Esto demuestra que la formación y concienciación a empleados es imprescindible.
