En un sótano oscuro, con una sudadera con capucha tecleando frenéticamente ante varias pantallas repletas de letras y dígitos que avanzan a gran velocidad, rodeado de latas vacías y comida basura. Esta imagen heredada del cine es la que predomina en el imaginario colectivo cuando hablamos de ‘hackers’. Sin embargo, es de lo más alejada a la realidad. “Existe una verdadera industria de cibercriminalidad”, afirma el director del Área de Tecnología y Comunicaciones (TIC) de la Universidad de Castilla-La Mancha (UCLM), Andrés Prado. Una industria estructurada y especializada, con organizaciones que se encargan en desarrollar programas que atacan las debilidades informáticas, otras expertas en robo de contraseñas y credenciales, otras en ‘colarse’ en sistemas, e incluso existen equipos encargados de negociar con las empresas e instituciones que han sido atacadas.
Según un estudio de la red de servicios internacional Deloitte, España fue en 2022 el tercer país a nivel mundial en materia de ciberataques después de haber sufrido en 2021 más de 305.000 delitos informáticos. En la misma línea, el Observatorio de Respuesta contra Ciberataques de la empresa de seguridad informática Aiuken detalla que los ciberataques contra la Administración Pública han aumentado hasta un 455% en 6 años.
El último gran ataque lo sufrió el cinco de marzo el Hospital Clínic de Barcelona. El centro hospitalario fue víctima de un ataque de ‘ransomware’ que detuvo el funcionamiento ordinario de la plataforma digital del centro. El ataque obligó en la primera semana a cancelar más de 300 intervenciones, más de 4.000 análisis de pacientes ambulatorios y más de 11.000 visitas de consultas externas. Los autores del ataque, el grupo Ransonm House, exige desde entonces un rescate económico de 4,5 millones de euros a cambio de liberar todos los datos que contaminó, así como para no hacer públicos datos sensibles de pacientes y de investigaciones. Algo que ya ha hecho en parte en las últimas semanas.
El ataque se va a producir
Ante este panorama de incremento exponencial de ciberataques liderados por una potente industria de cibercriminalidad, Andrés Prado manifiesta que, en cualquier empresa o administración, “el ataque informático se va a producir, la clave es cómo de maduro estás para recuperarte y cómo proteger tus activos más importantes”.
El director del Área de TIC de la UCLM explica que en las administraciones públicas españolas se sigue una normativa que establece un esquema de seguridad informática, que es casi una adaptación con unos niveles algo más altos de los estándares internacionales de seguridad, como la ISO 27000, una de las series de normas más conocidas. Bajo este ámbito normativo se mueven todas las administraciones, desde la estatal, hasta la autonómica, pasando por las entidades locales, los hospitales y las universidades.
“Algunas administraciones, por sus características, tienen sistemas extra, pero en términos generales, todas tienen lo mismo”, explica Prado, quien detalla que es esencial que estas normas cuenten con financiación para su implantación.
“Tenemos muchas diferencias entre las propias administraciones públicas, empezando por el tamaño, así como por el tipo de servicio público que prestamos, porque no es lo mismo una universidad que un hospital, evidentemente. Como el tipo de información que se almacena es diferente, los presupuestos también son diferentes”, apunta el informático.
La realidad actual es que “el entorno en el que nos encontramos ha cambiado mucho en los últimos años”. Hace unos años los ciberataques no dejaban de ser “trivializando un poco, una cosa anecdótica”. Sin embargo, ahora el riesgo de sufrir ciberataques ha crecido muchísimo. “En la actualidad existe una verdadera industria de cibercriminalidad y ante este panorama las administraciones públicas están mentalizadas en temas de cumplimiento de la normativa de seguridad y en buenas prácticas”.
Como explica Prado, la normativa exige y las buenas prácticas proponen. “Muy en esa línea, porque además lo que estamos viendo y lo hemos sufrido en nuestras propias carnes, es fundamental tener preparados entornos para poder reaccionar cuando sufres ese tipo de incidentes tan serios, como el que sufrimos nosotros en abril de 2021”. La UCLM sufrió entonces un ciberataque que cifró parte de sus datos e inutilizó servicios.
Castillo y caballo de Troya
Incidentes como este han originado un cambio en la forma de protegerse contra la ciberdelincuencia. “Antes todos veíamos que la forma de protegerse era la del castillo. El problema es que ese tipo de defensas están preparadas para resistir un ataque desde el exterior. Y efectivamente, muchos ataques se producen desde el exterior. La problemática es que las técnicas que se están utilizando ahora mismo son de ‘caballo de Troya’, cuando el atacante está dentro de la organización, suplantando la identidad de alguien que consideras que forma parte de la misma”.
A partir de ahí, el modelo de murallas que defiende del exterior ya no funciona. El atacante entonces lo que hace es desde dentro analizar cuáles son las vulnerabilidades del sistema. “El paradigma del atacante y la defensa visto como un castillo se empieza a caer. Por supuesto que el castillo lo tienes que mantener, pero es muy importante entender que aunque la amenaza viene desde fuera, el vector de ataque fundamental termina siendo que entran dentro, suplantando la identidad de otra persona”.
Conseguir credenciales mediante ‘phishing’ es el medio más habitual. El ‘phishing’ es un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar. “De hecho, hay una verdadera industria de credenciales en la red oscura”.
Como subraya Andrés Prado, las credenciales ahora mismo son de un valor fundamental, porque esa es la manera que tiene el atacante de suplantar una identidad de alguien que tú consideras que está autorizado. “Por eso, una de las cuestiones fundamentales en defensa ya no es sólo ‘los castillos’, que seguimos manteniendo con nuestros cortafuegos de entrada y nuestros sistemas de detección, sino que ahora el reto también es defender las identidades de los individuos que legítimamente están realizando su actividad dentro de una organización o de una administración pública como nosotros”.
‘Modus operandi’
Cuando un ciberdelincuente consigue una identidad, su ‘modus operandi’ habitual es establecerse en algún equipamiento informático de la entidad que va a ser atacada (un ordenador, un portátil, un servidor…) y, a partir de ahí, analiza desde dentro la arquitectura tecnológica de esa organización. Va señalando objetivos e identificando vulnerabilidades. Entonces hacen uso de su “mochila de armamento”, que son programas informáticos destinados a explotar vulnerabilidades, llamados ‘malware’. Simplificando mucho, estos programas detectan y utilizan vulnerabilidades de los programas informáticos de la organización para que, sobre todo, el atacante pueda obtener permisos para ejecutar acciones que sin esos permisos no podría ejecutar. Después el intruso puede lanzar otro software para cifrar datos y el equipamiento informático deja de funcionar porque los datos ya no son legibles.
Como explica Andrés Prado, por norma general en la actualidad estos actos son cometidos no por cuenta propia del hacker, sino que son contratados para acometer estos actos delictivos. “Hay una verdadera industria detrás de todos estos ataques”, incide el director del Área TIC de la UCLM, que añade que en algunos casos se está demostrando que hay grupos de ciberdelincuentes que están vinculados a, de manera directa o indirecta, a algunos estados que lo que pretenden es desestabilizar.
El proceso continúa en muchos casos con solicitudes de rescate de los atacantes para restablecer la normalidad por una suma de dinero. Una labor que desarrollan en ocasiones equipos especializados para negociar con las empresas o instituciones atacadas, demostrando la cada vez mayor organización y especialización de la ciberdelincuencia.
Recuperación
Tras sufrir un ataque informático, el reto del atacado es recuperarse y restablecer sus servicios lo antes posible. Andrés Prado recuerda que, en el ataque que padeció la Universidad de Castilla-La Mancha hace dos años, empleó mucha terminología de pandemia. “Primero establecimos un confinamiento general, que fue básicamente desconectar la Universidad de todo”.
Una de las principales características de los grandes ataques informáticos es que se planean para fines de semana o festivos, momentos en los que se puede estar más desprotegido o con menos capacidad de reacción. En la UCLM ocurrió un domingo. “Nuestros sistemas de monitorización nos alertaron de que algo estaba pasando. Y ahí reaccionamos. La primera medida fue desconectar la Universidad de la red por si el atacante estaba realizando en ese momento alguna actividad. A partir de ahí, hay que analizar qué es lo que está ocurriendo y vimos que habíamos sido víctimas de un ataque y que teníamos cifradas un número de máquinas importante, además de ser muchas de ellas máquinas críticas para el funcionamiento de la Universidad”.
En este punto, comienza la tarea de reconstrucción. “Pero tienes que reconstruir sabiendo que si las medidas de seguridad que tenías habían sido violadas, para reconectarnos esas medidas de seguridad se tenían que incrementar”, explica Prado, que detalla que “tuvimos que rediseñar algunas cuestiones y lanzamos algunos proyectos que teníamos en cartera, siempre con la idea de incrementar las medidas de seguridad hacia el exterior, pero también la protección desde el interior”.
En este sentido, la Universidad tuvo muy en cuenta que había que proteger no solo la red de comunicaciones, sino también las identidades de sus trabajadores, por lo que lanzó un sistema de protección de identidades con un doble factor de autenticación, “para que la contraseña en sí misma no tenga tanto valor, sino que haya otra dependencia más”.
A partir de la mejora de la seguridad hacia fuera y desde dentro, se procedió a la limpieza de los servicios afectados por el ataque, dando prioridad a la docencia con la recuperación del campus virtual. Poco a poco se reabrieron servicios y zonas de red.
Para Prado, “en la recuperación de un ataque la clave es no volver al mismo estado en el que estabas, sino volver a un estado mejor en términos de ciberseguridad y además monitoreando, porque una de las peores cuestiones que puedes sufrir es una segunda oleada”.
Carrera de fondo
La seguridad informática es una carrera de fondo. “Y es una carrera en la que nos estamos dando cuenta de que estamos compitiendo con un entorno amenazante que tiene una capacidad mucho mayor que la que tenemos en general la mayoría de las administraciones públicas”.
El director del Área TIC de la UCLM explica que “una de las lecciones que hemos aprendido con este incidente de hace dos años es que hemos venido trabajando a la seguridad desde un punto de vista de cumplimiento normativo, de medidas de prevención, y eso está bien y hay que hacerlo, pero la realidad es que no es suficiente. En este momento, nuestro punto de vista con respecto a la ciberseguridad es asumir desde el principio que vas a sufrir un ataque y hay que tener claro cómo reaccionar a esa amenaza y cómo recuperarse”.
“Esa es la lección más importante que hemos aprendido y que estamos compartiendo con otras administraciones públicas y con otras universidades”, apunta Prado, que subraya que, por supuesto, que hay que seguir avanzando en medidas de seguridad, “pero también hay asumir que el potencial que tiene la industria de la cibercriminalidad es muy superior a la que las administraciones públicas y las autoridades públicas pueden combatir”.
En este sentido, en la actualidad a nivel nacional, e incluso a nivel europeo, existen iniciativas de entornos de soporte conjuntos para la administración pública. “Y es la única manera, porque no estamos preparados para la amenaza actual de la ciberseguridad”.
Como conclusión, Andrés Prado incide en tres puntos: prevención y cumplimiento, asumir que el ciberataque se a producir y, por último, la colaboración entre el sector público. Respecto al primero detalla que hay que seguir apostando por la seguridad y ello pasa por destinar más recursos. “La seguridad cuesta dinero, pero cuesta más sufrir un ciberataque”.
Sobre el segundo punto, indica que el ciberataque llegará y no se sabe cuándo. La clave entonces es cómo de madura está la organización en términos de recuperación, en cuánto tiempo puedo recuperar sus servicios, cuáles son sus activos más importantes y cómo se protegen para no exponerlos ante el ataque.
Por último, respecto al tercer punto, Prado considera fundamental la colaboración entre las administraciones públicas, compartiendo sus experiencias y conformando grupos de trabajo que avancen en una mejor protección.
Andrés Prado espera que informaciones como ésta sirvan para la concienciación de la sociedad sobre la importancia de la seguridad informática. No es sólo una cuestión de la empresa o de la administración, sino que los individuos que pertenecen a las mismas tienen una responsabilidad muy importante en la protección de sus identidades digitales. “El valor que tiene una contraseña ahora mismo es incalculable por el daño que puede causar en malas manos”.
