Els ‘hackers’ despullen les empreses

L’administració, les empreses de l’Íbex o, aquesta mateixa setmana, l’escola de negocis Iese i el Port de Barcelona. La mida no importa. Qualsevol empresa o institució és susceptible de convertir-se en la següent diana d’un ciberatac massiu. De sobte, les empreses es veuen obligades a fer hores extres per salvar les seves dades de l’ofensiva dels hackers. A més, ara hi ha una petita diferència: des del maig, el nou reglament europeu de protecció de dades obliga totes les empreses a comunicar aquests atacs a les autoritats de protecció de dades -i, si és greu, als clients afectats- durant les 72 hores posteriors a l’incident. Això ha provocat que molts casos que abans es mantenien en secret surtin a la llum, que s’escampi la sensació de vulnerabilitat entre les empreses que encara no han estat atacades i que s’accelerin les inversions en ciberseguretat per estalviar-se el tràngol de reconèixer aquests problemes en públic. Però, ¿és suficient perquè les empreses es prenguin seriosament l’amenaça del crim digital?

WannaCry. Fa un any i mig aquesta paraula es va escampar a la mateixa velocitat que la por entre centenars d’empreses. El WannaCry és un ransomware (un tipus d’atac que bloqueja els sistemes de l’empresa fins que l’afectat paga un rescat, sovint en bitcoins) que va ser capaç de provocar un nivell d’alerta informàtica mai vist al món empresarial, i que fins i tot va aconseguir infectar les xarxes de gegants com Telefónica o CaixaBank. Moltes de les afectades van optar per dissimular de portes enfora i van negar que el virus hagués segrestat els seus ordinadors. “Als directius de les grans empreses el que més els preocupa és la reputació”, explica Daniel Cruz, director d’operacions de la companyia especialitzada en ciberseguretat Ackcent Cybersecurity. Només durant el 2017 l’Institut Nacional de Ciberseguretat d’Espanya (Incibe) va comptar més de 120.000 ciberatacs a l’Estat (o, cosa que és el mateix: 13 cada hora), un rècord que els experts preveuen que es tornarà a batre.

“La pime també s’ha posat les piles i ens truquen moltes empreses mitjanes que han patit estafes”, assegura Nicolás Castellano, director d’operacions d’Andubay, una consultora en ciberseguretat. Després d’aplicar el nou reglament de protecció de dades a correcuita, no només les grans empreses paren més atenció a les bretxes dels seus sistemes. Castellano ha atès casos de tot tipus. “Hi ha empreses a qui intervenen les factures i modifiquen les dades bancàries per fer arribar els diners als delinqüents”, recorda. Per a una pime, un atac així també pot implicar pèrdues de milers d’euros i aturades en la producció de diverses hores. Segons un estudi recent publicat per ACCIÓ, una agència de la Generalitat, de mitjana les empreses perden 17 hores anuals per culpa dels ciberatacs. “El cibercrim recorre a les petites empreses per captar diners fàcils i aconseguir finançament per a atacs més grans”, explica Bosco Espinosa de los Monteros, director de prevenda de Kaspersky Lab, el gegant rus de la seguretat informàtica.

Un dels negocis que més s’han blindat és la banca i, tot i així, des del sector de la ciberseguretat s’admet que no són immunes als atacants. “Els demanen moltes auditories, però hi ha temes tècnics que sempre queden fora i no es pot garantir la seguretat al 100%”, diu Castellano. Eloi Font, advocat i director del bufet especialitzat en dret digital Font Advocats, assegura que les entitats financeres són “les que reben més atacs”. “Sortiran a la llum molts casos que fins ara no sabíem”, apunta. El seu despatx s’ha centrat en els últims mesos a assessorar moltes companyies que s’han hagut d’adaptar a última hora a les noves exigències d’Europa i reconeix que les empreses prioritzen altres temes, com els consentiments, abans que les mesures de seguretat. Un estudi elaborat per la UB i la consultora EY assegurava que el 60% de les empreses catalanes invertiran en ciberseguretat, però el sector creu que encara s’està lluny d’aquests nivells.

En episodis com el que va patir l’Iese aquesta setmana, l’objectiu és més aviat deixar en evidència la institució que fer negoci amb les dades que s’extreuen. Una de les raons per les quals els hackers de La Nueve -un grup vinculat a Anonymous- van ser capaços de penetrar en els sistemes de l’escola de negocis és tan simple com que els seus sistemes operatius no estaven actualitzats. I aquest no és un cas esporàdic, sinó la tònica habitual per a moltes empreses i institucions, que no renoven el programari tan sovint com recomanen els experts. El mateix WannaCry només atacava si els sistemes no estaven actualitzats. “Te’n faries creus de la quantitat d’empreses que tenen Windows XP als seus ordinadors en entorns crítics com l’energia nuclear o les petrolieres”, exclama Cruz.

Helena Rifà, experta en aquest camp i directora de la càtedra UOC-IBM de ciberseguretat, creu que el retard en les actualitzacions fa que sovint virus que ja han estat publicats agafin les empreses desprevingudes. Precisament, Castellano apunta que com més grans són les empreses més difícil és restaurar el programari, ja que suposa fer moltes proves prèvies. Albert Soriano és el responsable a Catalunya de CheckPoint, un altre dels líders del sector. “És una guerra entre l’atacant i el defensor. Tots dos utilitzen les seves armes i si els exèrcits són desiguals està bastant clar qui guanyarà la batalla”, afirma.

I tot i així, molts cops els causants dels errors en la seguretat informàtica no són les màquines, sinó les persones. El factor humà és clau en la prevenció dels atacs, i ara encara és un dels aspectes més oblidats en les polítiques internes de la majoria de companyies. “El més fàcil és comprar tecnologia, però el forat real és a les persones: si no tenen la formació adequada, un incident tonto es pot fer molt gran”, assegura Daniel Cruz, d’Ackcent Cybersecurity. Hi ha errors molt habituals, des d’obrir un enllaç d’un correu electrònic sospitós fins a connectar a l’ordinador un llapis de memòria d’origen desconegut. Hi ha molts errors comuns dels treballadors que els equips informàtics de les companyies només poden evitar fent un exercici de sensibilització. “Ningú et regala un iPhone a Facebook perquè sí, però és una manera molt fàcil de captar comptes d’usuaris”, adverteix Espinosa de los Monteros sobre els anuncis a la xarxa.

Una de les cartes que algunes grans empreses estan jugant per prevenir ciberatacs massius gairebé sembla un joc de rol. Es tracta dels anomenats red teams, equips de hackers que posen a prova els sistemes de seguretat de la companyia per detectar-hi bretxes i assegurar-se que les solucions que s’estan aplicant són efectives. Un altre grup d’experts, denominat blue team, analitza les vulnerabilitats. Aquestes mesures, però, quedaran en paper mullat si les empreses de ciberseguretat no aconsegueixen superar el dèficit de treballadors especialitzats que pateix el sector. “Només a Europa falten 200.000 professionals. Al màster es graduen 200 estudiants a l’any, però no podem créixer al mateix ritme”, apunta la directora de la càtedra de cibersegurat UOC-IBM. Castellano i Cruz fan el mateix diagnòstic. “Hi ha una guerra per fitxar gent entre empreses”, admet el directiu d’Ackcent.

Segons l’esmentat estudi d’ACCIÓ, a Catalunya hi ha fins a 352 empreses que es dediquen a la ciberseguretat, i juntes sumen una facturació de 806 milions d’euros. Si el 2004 el mercat global d’aquest negoci amb prou feines arribava als 3.500 milions de dòlars, ara ja supera els 90.000 milions. El creixement anual del sector es mou entre el 12% i el 15%, i es preveu que la despesa en ciberseguretat al món arribi al bilió de dòlars de cara al 2021. Malgrat que aquest univers de companyies està controlat per multinacionals americanes i britàniques, a Catalunya el 95% del sector són pimes. Les empreses del sector reconeixen que hi ha més feina que fa uns anys, però n’hi podria haver molta més. “Si totes les companyies s’hi haguessin posat, estaríem desbordats, i no ho estem tant”, apunta Castellano. L’advocat Eloi Font assegura que els dies abans d’aplicar el reglament van ser “un tsunami”, però l’arribada de nous projectes encara es manté ara. Cruz afegeix que el reglament “no ha portat necessàriament molt més projectes, però ha donat notorietat pública al tema”.

Soriano creu que les empreses estan prenent consciència, però que s’estan blindant més a nivell legal que incorporant sistemes més segurs. Per a Font, el problema és que no hi ha una “cultura de la seguretat informàtica”, mentre que cada vegada fem un ús més intensiu de la tecnologia. “S’hi destinen més recursos, però hi ha cada vegada més atacs”, afegeix la professora Helena Rifà. En aquest sentit, Cruz creu que el reglament europeu de protecció de dades serà una bona peça “per obligar a fer coses”, però , com en altres greuges, al final la millor motivació serà veure que el següent afectat és “el teu veí”.

Pedro Pablo Pérez:“¿Hi ha vulnerabilitats? Sí. Ningú albira un dia en què el risc digital sigui zero”

Pedro Pablo Pérez és el director global de seguretat de Telefónica i qui s’ha encarregat de defensar els murs de l’operadora en els últims atacs informàtics que ha rebut. Divendres va estar a Catalunya per explicar-ho en una conferència en el marc del Fòrum Cornellà Creació.

¿Com va viure el dia que va esclatar el WannaCry? No es va entendre gaire bé el concepte. L’atac no anava teledirigit, s’infectava de manera aleatòria. Nosaltres vam ser molt transparents amb l’opinió pública i vam explicar quines contramesures vam aplicar. Moltes empreses que es van infectar no van dir res. Malgrat el soroll que es va generar, no hi va haver aturada del servei.

¿Es podria haver evitat? Si tens el 100% dels sistemes amb pedaços contra aquest atac es podria haver evitat, però no és el mateix fer-ho en una empresa que té un ordinador que en una que en té centenars de milers.

Per tant, el cibercrim va més ràpid que vosaltres. Es pensa que hem fallat, però no es fa el símil amb el món real. A Catalunya hi ha robatoris cada dia i som conscients que és una cosa que pot passar. En canvi creiem que al món digital, que està tot just a les beceroles, la seguretat ha de ser total. Avui hi ha vulnerabilitats? Sí. N’hi haurà, demà? També. Ningú albira un dia en què el risc digital sigui zero.

Les persones també poden cometre errors de seguretat. Com s’evita? La millor eina és la conscienciació. La gent ha de saber que no pot posar “1234” com a contrasenya. Si la clau és complexa i té almenys deu caràcters, estic més segur. Si a sobre utilitzo un segon factor d’identificació, encara hi estic més.

Telefónica té recursos per fer-ho, però tenim un país de pimes. És cert que la pime ja va prou pressionada amb les despeses del dia a dia per invertir en coses noves, però també està en aquest procés de digitalització. Hi ha programes de suport del Cesicat o l’Incibe per ajudar-les amb la ciberseguretat.

Cada cop tenim més dispositius connectats. Això augmenta el risc de contagi quan afecta a una empresa com Telefónica? Hi ha escenaris en els quals hi ha entitats que es consideren infraestructures crítiques. Pot ser una ‘teleco’, però també els bancs, les empreses d’aigües, les elèctriques... Hi ha un reguitzell d’empreses que si tenen un ciberincident greu poden provocar un dany sistèmic. De fet, ara hi ha una regulació especial per protegir-les.

¿Les nostres dades estan en perill més sovint del que pensem? Constantment estem emetent i generant dades que són monetitzables. Es poden vendre en brut o utilitzar-los per fer un frau i generar diners. En el cas del WannaCry, segons les últimes investigacions no es van robar dades. Els Estats Units han atribuït que va ser un atac esponsoritzat per Corea del Nord. El motiu era provocar el caos.

En un ciberatac, també es danya la reputació de l’empresa. Cada cop que som més digitals, la tendència és que les empreses tinguin més actius intangibles. Són les seves marques i qualsevol atac contra elles pot provocar una disrupció. Empreses com Ashley Madison, en el moment en què els roben la base de dades, estan mortes perquè el seu major actiu és la privacitat. Els activistes poden tenir més impacte penjant la web d’un organisme o generant notícies falses que tallant un carrer.

El 'ransomware' pot aturar l’activitat productiva. La gent ha d’entendre que la ciberseguretat no és sinònim de protecció, sinó de resiliència. Això implica que hem de ser capaços d’identificar els riscos el més aviat possible, recuperar-nos i gestionar aquest tipus d’impacte per tornar a la normalitat. És un cicle en què no es tracta d’evitar que em passin zero atacs, sinó d’aconseguir que l’impacte sigui mínim. Si tens còpies de seguretat també és més fàcil recuperar-te. La seguretat no és pensar en un castell on ningú entrarà mai. Has de construir els murs, però si algú s’hi cola és millor que el detectis en un minut que un dia.

¿S’han de pagar els rescats dels atacs? La primera regla d’or és no pagar pels rescats, perquè quan pagues generes un ecosistema que viu d’això i fas més gros el problema. A més, res et garanteix que quan pagues et tornen les claus dels ordinadors. Quan veuen que els contestes molt de pressa ja saben que aquesta informació és molt més valuosa per a tu. Per això cada cop hi ha més atacs dirigits i extorsió.