Ciberataques en Euskadi: "Antes atacaban a una empresa, ahora atacan a 50 trabajadores, cada uno en su casa; alguno caerá"

"Ya nadie está libre", asegura Koldo Peciña,

el director del centro guipuzcoano de ciberseguridad. Ziur, ubicado en Donostia, es uno de los dos centros especializados creados en Euskadi en los últimos cuatro años y medio para proteger a las empresas de estos ataques. Es uno de los considerados proyectos estratégicos de la Diputación de Gipuzkoa.

A unos 100 kilómetros de distancia se encuentra el Centro Vasco de Ciberseguridad (BCSC por sus siglas en inglés), adscrito al Departamento de Desarrollo Económico del Gobierno Vasco y con participación de la Ertzaintza y un grupo de investigadores que rastrean las comunicaciones. Sus funciones son diferentes. Allí se han registrado a lo largo de 2021 un total de 1.373 incidencias, casi el triple que en 2020 (501). Prácticamente cuatro casos al día que son "la punta del iceberg", solo las que se reportan a las autoridades.

Su director, Javier Diéguez, asegura que pese a ser una organización joven, las expectativas de futuro del BCSC son grandes y que "el hecho de que se hayan triplicado los casos a que vamos teniendo más capacidad de detección, construyendo más inteligencia". Trabajan como un dron sobre la maraña de conexiones de Euskadi, observando agujeros de seguridad en las organizaciones más sensibles del país y alertando a los afectados.

Para entender las claves de este fenómeno, la amenaza que representa y cómo protegernos de los hacker, NOTICIAS DE GIPUZKOA ha hablado con los directores del centro de ciberseguridad de la Diputación de Gipuzkoa (Ziur), Koldo Peciña; y del Centro Vasco de Ciberseguridad, Javier Diéguez.

Peciña es contundente. "Ya no se escucha la típica frase de ¿quién me va a atacar a mí que estoy en un polígono de pueblo? Eso ya no existe. Esto es algo masivo", asegura. "Obviamente, las grandes empresas están mejor preparadas y tienen sus propios recursos, pero las pymes también se están subiendo al carro. Y nuestra idea es cada vez más llegar más a la 'p' de la pyme, trabajar mucho con las empresas más pequeñas, que, para nosotros, desde el punto de vista de competitividad, son las que tenemos que ayudarles a que tengan en cuenta la ciberseguridad".

Esa es la esencia de Ziur. "Ayudarles a que sepan cómo están, qué riesgos tienen, y ayudarles a que vayan al mercado a contratar servicios a empresas especializadas. Nosotros somos un intermediario que dinamizamos esa actividad", porque "todo esto ha llegado ahora y es nuevo para ellos".

Pero cómo de vulnerables son nuestras empresas a estos ciberataques. Javier Diéguez es claro. "Del uno al diez, si hablamos del mayor porcentaje del tejido empresarial, que son pymes y micropymes, el grado de vulnerabilidad, siendo diez el más alto, posiblemente estemos en un ocho; muy arriba", debido a sus limitaciones.

La "culpa no es solo de ellos", de las pymes, ni mucho menos, asegura Diéguez, ya que además "vemos que por ser empresas pequeñas, y por el volumen de facturación, son poco interesantes para los proveedores de ciberseguridad", indica: "Ahí tenemos un gap", un vacío.

Espiando nuestro correo

El caso del polígono 27 de Martutene hace dos semanas fue llamativo. 10.500 euros estafados a a una pequeña empresa al suplantar la identidad de la compañía. "Es una de las estafas más corrientes", alerta Peciña.

El director de Ziur, con casi 20 años de experiencia en el sector, asegura que "lo complicado en ese caso es que el estafador tiene que tener acceso a tu correo electrónico y te ha cogido tus credenciales, tus contraseñas, a través de un phising. Y lo que hacen en tu correo es monitorizar, ver todo lo que haces, y si en algún momento solicitas una factura, en ese momento, te hacen una suplantación temporal", asegura. La cruda realidad es que "están leyendo todas tus comunicaciones. Esto es muy, muy frecuente; este año en Gipuzkoa han sufrido muchas empresas este tipo de ciberataque", añade Peciña.

El director del BCSC, Javier Diéguez, apunta otro aspecto: "Además, lo hacen muy bien, de modo que si la víctima no tiene cierto grado de prudencia, generalmente pica".

Una vez realizada, la transacción, recuperar el dinero no es sencillo. Las entidades financieras "a veces consiguen parar esa transacción; están muy habituadas a este tipo de problemáticas y existe un alto grado de colaboración interbancaria", pero los 'malos' juegan rápido y muchas veces para cuando nos damos cuenta es tarde, explica Peciña.

Prevenir antes de lamentar

La solución está en la prevención. "La recomendación es muy sencilla" para evitar un caso como el de Martutene: "Cuando un proveedor te pide un cambio de cuenta, llama al contacto financiero que tengas en el proveedor y que te confirme que quiere cambiar el número de cuenta", asegura Javier Diéguez.

Pero pueden atacarnos de otras maneras. "El otro caso más frecuente es el ramsonware", asegura el director de Ziur. El ransomware es un ataque "masivo", "indiscriminado", explica el director del centro guipuzcoano. Lanzan miles de ataques. Pura probabilidad.

"El 80% de estos ataques entran por correo electrónico" y cuando nos alcanzan, "la única solución para restaurar el sistema sin pagar es tener copias de seguridad, limpiar los equipos infectados y posteriormente restaurar dichas copias de seguridad", asegura Peciña.

"Esto pasa constantemente, incluso en EEUU, cuando el año pasado paralizaron un oleoducto; fue por un ataque de estos, que te cifran la información y te bloquean todo el proceso. Si quieres recuperar la información, tienes que pagar en bitcoins, porque así no se puede rastrear, y entonces te dan las claves de restablecimiento. La recomendación es que no pagues", asegura este experto.

Diéguez, por su parte, añade que estos hackers saben además, "aproximadamente cuanto es razonable pedir. No le van a pedir lo mismo a una pyme que a una multinacional. Piden cantidades que saben que pueden cobrar".

el eslabón débil y la pandemia

La clave para nuestra protección es introducir en nuestros sistemas informáticos herramientas que dificulten el hackeo, pero sabiendo que "no existe la protección total". En eso coinciden los directores de ambos centros, Ziur y el BCSC. "Por muchas cámaras, alarmas que pongas y puertas que existan en tu casa, sucede lo mismo. Al final, la seguridad 100% no existe y en informática hay un punto que es el eslabón más débil: el usuario", el trabajador de una organización. "Si pincha y se descarga el virus, el mal está hecho, pero ahí trabajamos mucho la concienciación. Exposición de ataque se llama", explican.

Las empresas proveedoras de servicios de ciberseguridad tienen, de hecho, planes específicos para trabajadores en función de su rol en cada empresa y las "leyes que están saliendo en materia de ciberseguridad inciden en la formación y la seguridad de los usuarios. Es el punto de vulnerabilidad, el eslabón más débil", insiste el director de Ziur.

"Ciberataques ha habido siempre", desde que hay conexiones a Internet, asegura el director del BCSC, pero la pandemia ha sido un detonante. "Antes solo atacaban una empresa; ahora están atacando a los 50 trabajadores, a cada uno en su casa. Alguno caerá", asegura Javier Diéguez.

"El ordenador doméstico, que usa tu hijo e hija, igual no tiene las protecciones mínimas siquiera y lo estás usando para el trabajo"; o quizás "los sistemas de seguridad de la pyme igual no están preparados para que se conecten todos de manera remota", asegura Diéguez. Lo más importante, en todo caso, son "la concienciación y las buenas prácticas", como tener un ordenador específico para el trabajo y otro doméstico o no compartir el portátil con familiares, añade el experto.

Rastreadores de 'malos'

En el centro de ciberseguridad vasco que dirige Diéguez trabaja un equipo de 20 personas, entre los que hay ocho investigadores, dos efectivos especializados de la Ertzaintza, y un contacto con la EJIE, la Sociedad Informática del Gobierno Vasco.

De las 1.373 incidencias registradas en 2021, Diéguez explica que "si hay delito, se informa directamente a la Ertzaintza". El responsable de la sección central de delitos de tecnologías de la información de la Ertzaintza, Manu Biota, trabaja presencialmente en el BCSC, de hecho.

Cuando no es un delito, por el contrario, "o hay un problema de atribución o jurisdicción", la cosa cambia. "Porque muchas veces no sabes quién está detrás de la estafa y a veces sucede en lugares que no puedes hacer nada", explica Diéguez: "Si se ha creado un dominio malicioso que intenta suplantar a una organización para atraer a gente navegando, robarles datos o incluso descargarles malware, etcétera, nosotros lo que hacemos ahí es recurrir a nuestra red de contactos internacionales", explica el director del Basque Cibersecurity Center (BCSB).

"Imagínate que han creado un dominio malicioso en Dinamarca, hablamos con nuestros colaboradores daneses, para que investiguen el tema y hablen con el registrador de ese dominio para que lo desactive", asegura.

Se le llama monitorización electrónica y lo que hace el BCSC es rastrear "la superficie de contacto de diferentes organizaciones de Euskadi a Internet. Lo que podemos ver ahí, utilizando ciertas herramientas no intrusivas, es si hay configuraciones vulnerables por las que alguien se pueda colar", explica Diéguez. "No arreglamos los problemas, pero sí avisamos".

• Lea más: "Por suerte, no hemos tenido una cibercrisis que tenga colapsado el país"

Sin ir más lejos, "en lo que va de año, hemos alertado a tres ámbitos públicos de Euskadi, autonómicos y subautonómicos, sobre suplantaciones de dominios asociados a ellas. Es decir, han creado webs que lo que pretendían es que alguien accediese a ellas pensando que era esa institución, quién sabe para qué. Hemos alertado a las tres. Y además hemos pedido a los registradores correspondientes, que desactiven esa web. Es algo del día a día, no algo excepcional que pase de vez en cuando", explica.