L’amenaça de la xarxa més fosca
Empreses i bancs són al centre de la diana dels delinqüents digitals. La cultura de la protecció no arriba a les pimes, tot i estar exposades a idèntics perills que les grans. La IoT obligarà a una tutela encara més exigent
Els diners són el principal objectiu dels atacs informàtics que reben empreses, entitats financeres i particulars, però els motius econòmics no són els únics que mouen les bandes organitzades de ciberdelinqüents, cada cop també més especialitzades en els seus serveis. La compravenda de dades empresarials, credencials bancàries o codis d’accés a sistemes informàtics són objecte de subhastes a la internet profunda –deep web–, on hi ha una autèntica sectorialització destinada a donar utilitat i valor econòmic a tota aquesta informació aconseguida de manera il·legal.
En un entorn cada vegada més connectat, “la seguretat plena no existeix”. Aquesta afirmació és compartida per tots els executius d’empreses de seguretat informàtica i experts consultats per aquest mitjà. “Cap persona, empresa o entitat no es lliurarà de ser objecte d’un atac informàtic, com a mínim, un cop a la vida”, assegura Bosco Espinosa, director de prevenda de la multinacional de seguretat Kaspersky Lab Iberia, una de les cinc més grans empreses del món en seguretat domèstica i corporativa. Espinosa insisteix en la importància que “s’estengui com una taca d’oli la cultura de la seguretat a tots els nivells, tant a grans com a petites empreses”.
Les pimes, explica Espinosa, “no es plantegen la seguretat com a una de les potes més importants de la seva organització i la deixen a la cua de les prioritats. Encara no tenen cultura de la seguretat tot i que algunes ja estan començant a ser conscients del que aquesta significa”. Avisa de “subestimar el perill de les accions informàtiques dels seus empleats” i recorda la frase d’Eugene Kaspersky, cofundador i CEO de la multinacional de seguretat: “Hi ha dos tipus d’empreses: les que han estat atacades i les que desconeixen que ho han estat.”
Pedagogia activa.
González alerta del perill dels insiders, els treballadors descontents o temptats amb una bona oferta econòmica, que són utilitzats pels ciberdelinqüents per obtenir informació rellevant de l’empresa o codis d’entrada a zones privilegiades del sistema. Cita com a exemples els atacs al portal de contactes Ashley Madison, el 2015, o al despatx d’advocats panameny Mossack Fonseca, el 2016, als quals els pirates informàtics van accedir a través d’insiders.
Espinosa afegeix altres perills als quals les empreses, sobretot les pimes, han de fer front: “A més dels insiders, els ciberdelinqüents utilitzen la suplantació d’identitat i els criptolockers –un malware tipus troià que xifra fitxers de l’ordinador–, accions que solen acabar en xantatges.”
Atacs persistents.
“Els atacs dirigits –explica Espinosa– van per sota dels radars de les empreses de seguretat. Funcionen a través del correu electrònic. Un treballador de l’empresa rep un correu suposadament d’un company, que li demana informació confidencial o les credencials d’accés a una unitat, adduint que s’ho ha descuidat a la feina o que no els troba i els necessita per continuar treballant. Com que la suplantació de la identitat és perfecta, el treballador que rep el correu hi confia, no dubta de la seva veracitat i envia la informació demanada. A partir d’aquest moment, el ciberdelinqüent ja és a dins.”
Segons l’informe Riscos de Seguretat TI 2016 de Kaspersky Lab, “a escala mundial, només el 36% de les pimes –fins a 50 empleats– estan preocupades per les activitats informàtiques inadequades dels seus treballadors, tot i poder provocar bretxes de seguretat determinants”. L’informe també indica que “més del 61% dels negocis han experimentat un incident de ciberseguretat com a conseqüència del comportament descuidat o de la desinformació dels treballadors respecte dels perills de la xarxa”. Com apunta González, “les errades costen diners”.
El dos últims anys han estat molt convulsos al ciberespai. Segons Panda Security, la multinacional basca de seguretat informàtica, en aquest període es van detectar més variants de ransomware que els sorgits des del 1989, any en què es va descobrir el primer d’aquests programes maliciosos. Aquests atacs van provocar pèrdues milionàries, sobretot a empreses dels Estats Units, Itàlia, el Japó, Holanda i Alemanya, i en menor mesura, a l’Estat. Només l’any passat, assegura Panda Security, es van localitzar més de 4.000 atacs diaris en els quals es van utilitzar més de 256 varietats de ransomware, un 43% dels quals van tenir les empreses com a principal objectiu.
eBay, Nasdaq, Sony PlayStation, Adobe, AOL o Evernote, totes grans empreses, han patit atacs informàtics malgrat tenir fortes mesures de seguretat implementades. Kaspersky Lab ha comunicat que l’any passat va bloquejar intents de posar en marxa malware capaç de cometre robatoris de diners a través de la banca en línia en un total de 2.871.965 dispositius. La mateixa companyia confirma que el 2016 es va produir en el món un atac dirigit a una empresa cada 40 segons i cap a un usuari, cada 10 segons, unes xifres que vaticinen que es tornaran a superar enguany.
Una de les dades més preocupants, segons Kaspersky Lab, és que, l’any passat, “una de cada cinc empreses a l’Estat espanyol va patir un incident de seguretat informàtic, mentre que una de cada cinc petites empreses atacades no va poder recuperar els arxius, tot i haver abonat un rescat”.
Les pimes, més atractives.
Corrons explica el cas de l’empresa Target, el segon minorista de botigues de descompte més gran dels Estats Units, darrere de Walmart, que va patir un atac entre el 27 de novembre i el 15 de desembre del 2013, en què els pirates informàtics van accedir a noms, adreces, números de telèfon, targetes de crèdit i correus electrònics de 70 milions de clients. “Els pirates informàtics no van atacar directament Target sinó que van entrar a través d’una petita empresa d’aire condicionat que feia el manteniment als seus establiments. Des de la pime van accedir al sistema intern de la corporació.”
Davant d’un atac, “perquè en serem víctimes algun dia, sí o sí”, comenta Corrons, el millor que es pot fer és adonar-se’n el més aviat possible, “per minimitzar els danys”. Això significa –apunta– estar al dia dels perills i tenir actualitzada la seguretat, i també ensenyar a l’usuari a reconèixer els ciberatacs”. Aconsella a les pimes “posar-se les piles, perquè hi ha solucions que no arruïnen i frenen molts atacs”.
El malware s’ha convertit en l’amenaça en línia més freqüent. Segons indica l’Informe sobre risc de seguretat dels consumidors del 2016, una investigació realitzada per Kaspersky Lab i la companyia d’estudis de mercat B2B International, el 42% dels dispositius de l’Estat van allotjar o van ser atacats per programes maliciosos, mentre el 22% va ser víctima d’una infecció. Malauradament, el 29% d’aquests usuaris no van saber explicar com havia entrat el malware. Aquests programes maliciosos alenteixen el dispositiu, activen finestres emergents i anuncis no desitjats i reorienten l’usuari a llocs web sospitosos. Del 22% de dispositius infectats, un 7% va deixar de funcionar.
Com a fonts comuns d’infecció, a més dels correus electrònics d’aparença legítima, són els webs sospitosos, les aplicacions, el software fals i els USB. “Com que un terç dels internautes de l’Estat desconeix la manera com s’han arribat a infectar els seus dispositius, això fa que el malware es propagui encara més”, alerta Alfonso Ramírez, director general de Kaspersky Lab Iberia.
Darrere dels atacs es troben grups organitzats de ciberdelinqüents que actuen sobre tot des de Rússia i països de l’òrbita de l’antiga URSS i de la Xina. “Són molt difícils de localitzar perquè actuen des del que anomenem servidors a prova de bales, cap autoritat policial no pot obligar a apagar-los”, explica Espinosa, i advoca per dotar els cossos policials d’eines que els permetin fer una seguretat activa.
Treball col·laboratiu.
Check Point assegura que un altre dels principals objectius dels ciberdelinqüents són les operacions bancàries. “Els bancs han de tenir un doble nivell de seguretat, d’una banda, la pròpia entitat; de l’altra, els serveis exteriors que ofereixen als seus usuaris. Aquí és important també que marquin les línies de conducta adequada”, explica Antonio Abellán, director comercial de Check Point. Assegura que el nivell de protecció de les entitats bancàries a l’Estat “és molt alt”, tot i que afirma que “han d’incidir molt en el comportament dels seus usuaris, sobretot amb el gran desenvolupament de la compra en línia”.
Abellán aconsella “fer prevenció, ensenyar els usuaris a tenir conductes preventives perquè, ara per ara, no tenen sensació de perill”. Posa com a exemple la utilització que fem dels mòbils. “Al telèfon portem tot el que considerem més important per a nosaltres, tant del que forma part de la vida personal com professional, i això ens fa molt vulnerables.” Alerta dels programes que utilitzen els ciberdelinqüents per monitoritzar tot el que fem a partir del mòbil. “Si tens la possibilitat d’accedir físicament a un mòbil, en menys d’un minut pots instal·lar una aplicació que et permetrà fer un seguiment exhaustiu del seu usuari, des de la informació que emmagatzema a l’aparell fins gravar reunions on el mòbil és amb l’usuari.”
A la caça de les dades.
“L’espionatge sempre ha existit, però ara és més efectiu”, assegura Vicente Díaz, un barceloní que fa set anys que forma part del grup GReAT (Global Research & Analysis Team) de Kaspersky Lab, del qual actualment és l’investigador principal en seguretat. Aquest equip, nascut el 2008 i que conformen 35 experts d’Europa, Rússia, els Estats Units, Amèrica Llatina, Àsia i Orient Mitjà, col·labora amb la Interpol, l’Europol i els grups d’investigadors policials locals per perseguir el cibercrim. “Ajudem les autoritats quan ens ho demanen i compartim la nostra informació, tot i que sovint som nosaltres els qui els informem de dades robades”, explica Díaz, que incideix a com resulta d’habitual la utilització de tota mena d’estratègies il·legals per part d’empreses de determinats països, com la Xina, per apropiar-se de dades de la competència.
Díaz alerta sobre els atacs als governs, també a la Generalitat (vegeu gràfic de la pàg. 6), i d’un perill que va en augment: l’atac a les infraestructures crítiques, com els hospitals, les centrals nuclears, els aeroports o els sistemes energètics o d’aigua potable. Els atacs a aquestes infraestuctures es van incrementar a l’Estat un 107% en tan sols un any, del 2014 al 2015, passant de 63 a 130 els incidents detectats. “Les guerres canviaran molt i res no tindran a veure amb el que hem vist fins ara”, alerta Espinosa.
Internet de les coses.
En pocs anys, el salt serà vertiginós: cotxes, sistemes elèctrics i de calefacció, neveres, càmeres de tota mena, alarmes... es podran controlar des d’aplicacions instal·lades al mòbil i això, que ens farà la vida molt més senzilla, també ens farà més fràgils. El mapa en temps real de Check Point dona una idea de com n’és ara de fosca la xarxa: https://threatmap.checkpoint.com/ThreatPortal/livemap.html
ELS TERMES
“Ransomware”
P És un programari maliciós cada vegada més estès i amb més nombre de variants. Atura o limita l’accés als sistemes informàtics, bloquejant-los fins que l’usuari paga un rescat. Els mòbils i el sector financer tenen variants particulars.“Phishing”
P Missatges de correu electrònic que provenen aparentment de fonts fiables. Intenta obtenir dades confidencials de l’usuari, que després s’utilitzaran per cometre frau. També poden arribar a través de SMS o d’una simple trucada de telèfon.“Malware”
P De la contracció de les paraules malicious i software, és un programari que busca entrar en un sistema sense el permís del propietari.“Botnet”
P Grup d’ordinadors –bots– connectats involuntàriament i controlats remotament per fer campanyes de correu brossa o d’infecció.“Deep web”
P La internet profunda. Els seus continguts no estan indexats en els motors de recerca. S’hi accedeix a través del software TOR (The Onion Router) i requereix codis o invitació per entrar a les pàgines. El bitcoin és la principal moneda en les seves transaccions.“Hacker’
P Persona entusiasta de la informàtica. N’hi ha que defensen diverses causes –hacktivists–, ètics –white hacker–, delinqüents –black o yellow hacker– o que lluiten contra aquests últims –red hacker.L'operativa rutinària dels segrestos de dades
Com es fa?
Hi ha diverses maneres d'obtenir dades de manera il·legal d'una empresa, per petita que aquesta sigui. Algunes de les vies més habituals que solen utilitzar els grups de delinqüents digitals són l'anomenat ransomware o la suplantació d'identitat. Aquests programaris maliciosos solen entrar a través d'un missatge de correu electrònic, amb aparença de pertànyer a una companyia oficial o bé a una persona coneguda pel destinatari, i demana executar un fitxer o desvelar els codis d'usuari, adduint raons creïbles de seguretat. Però també poden entrar a través d'aplicacions de mòbil, amagats al darrere del codi del programa i adormits fins al moment que es determina que actuïn. Les conseqüències d'aquests atacs també són diverses: o bé l'empresa es troba tota la informació del disc dur encriptada i ha de fer front al pagament d'un rescat per tornar-ne a disposar, o bé el programa maliciós accedeix directament a les dades i en fa còpies, que després seran posades a la venda al millor postor o bé lliurades a qui ha fet l'encàrrec.
Com es paga?
Per desencriptar les unitats infectades es necessita un codi que proporcionarà el ciberdelinqüent després d'haver fet efectiu el rescat. S'ha de tenir en compte, però, que hi ha situacions en què experts informàtics poden arribar a esbrinar el codi que permetrà recuperar la informació, ja sigui per semblança a altres atacs registrats i estudiats pels experts, o bé per errades comeses en la programació del ransomware. Si l'empresa accedeix al xantatge, rebrà de l'atacant les instruccions necessàries per fer el pagament. Aquest gairebé sempre es fa en bitcoins, per la dificultat que comporta el seu rastreig. El ciberdelinqüent indicarà com obrir un compte en una de les plataformes d'intercanvi de la criptomoneda, com canviar euros o dòlars per bitcoins i el número del compte on haurà de fer-se l'ingrés. Un cop completat aquest procés, l'empresa rebrà el codi per entrar al sistema i descodificar les dades.
Què passa després?
El preu mitjà del rescat se situa en uns 500 euros per ordinador i no sempre té un final feliç. En massa ocasions les empreses han hagut de fer diversos pagaments després de comprovar que el codi rebut només alliberava una part de la informació, o bé perquè mesos després d'haver pagat el rescat s'ha tornat a repetir la situació. Per això, la transparència és vital: cal comunicar a les autoritats l'atac sofert.
2018: comunicar els atacs amb robatori de dades
El 25 de maig del 2018 serà d'obligat compliment la regulació europea de protecció de dades, que va entrar en vigor el 25 de maig del 2016. El reglament General de Protecció de Dades (GDPR, en la seva sigla en anglès) estableix noves mesures de seguretat per a les empreses, els autònoms i l'administració pública. La regulació estableix un mínims més elevats que els que té actualment la legislació dels Estats Units, que obliga les empreses a avisar tant les autoritats com els clients afectats quan es produeixen robatoris d'informació. Aquesta és la raó per la qual les notícies que ens arriben sobre usurpació de dades que ha patit alguna empresa o entitat no es refereix mai a companyies ubicades a Europa, perquè fins ara no era d'obligat compliment la notificació d'aquestes intrusions amb robatori de dades personals.
La normativa europea inclou mesures com la d'implantar el xifrat de la informació i els sistemes de doble identificació, mesures que obligaran també empreses o entitats amb seu fora de la UE però amb serveis a usuaris dels països membres o que rebin dades personals des d'Europa. Cada estat determinarà les categories de dades i de tractaments de xifrat a les empreses que gestionen les dades. N'hi haurà de diversos tipus i nivells, però és molt exigent amb les companyies que tracten amb dades biomètriques, personals o confidencials.
A partir del 25 de maig del 2018, el GDPR obliga a notificar qualsevol bretxa de seguretat a les autoritats competents, a més d'informar els usuaris als quals ha afectat el robatori, comunicant-los detalls concrets sobre l'atac que han patit en relació a les seves dades. Això obligarà les empreses a mantenir el seu nivell de seguretat al màxim, fer anàlisi d'intrusió constants i comunicar en el termini que estableix la normativa els atacs que han aconseguit accedir a la informació.
Les sancions que pot comportar un atac amb resultat de robatori d'informació confidencial i dades personals d'usuaris pot arribar a ser de 20 milions d'euros o d'una quantitat equivalent al 4% del volum de negoci anual de l'any anterior de la companyia. La quantitat que s'haurà de pagar serà la més alta entre aquestes dues opcions.