Alarma pels ciberatacs a la carta
La ciberdelinqüència guanya expertesa, esdevé professional i multiplica atacs cada vegada més estructurats L’usuari és primordial en la protecció del sistema
La ciberdelinqüència ha superat el global de les xifres del tràfic d’armes, drogues i persones, i va assolir l’any passat un valor pròxim a l’1,5% del PIB mundial. Els seus objectius són qualsevol sistema informàtic que contingui dades susceptibles de poder ser venudes, que ho són pràcticament tots, però té preferència per les empreses, els governs i les administracions.
“Ens trobem en un moment de gran polarització política, conflictes bèl·lics, crisi energètica i alimentària i inflació econòmica, i tot això ha provocat que la ciberdelinqüència hagi esdevingut una opció molt viable per a moltes persones. Les xifres ho confirmen”, va assegurar Francisco Valencia, director general de la companyia espanyola Secure&IT, durant la jornada La responsabilitat de l’empresa davant les noves amenaces.
De ciberdelinqüents n’hi ha de diferents perfils, des de qui actua sol fins als grups organitzats. “Ara s’està veient que es duen a terme atacs molt ben treballats i elaborats. Són grups que actuen com a sicaris als quals es contracten serveis. Tenen molta capacitat de monetitzar els atacs que perpetren i, d’altra banda, arribar a esbrinar la traçabilitat del seu atac és molt complicat”, explica Jordi Ferrer, professor especialista en ciberseguretat de l’EAE Business School.
Els grups de ciberdelinqüents, segons Ferrer, “solen arribar allà on volen a través d’atacs persistents. Tenen grans coneixements informàtics, centenars d’ordinadors distribuïts per tot el món i persones molt expertes que treballen per a ells. En definitiva, aconsegueixen avançar-se a les empreses de seguretat”.
La indústria està vivint la revolució de la connectivitat: la internet de les coses (IoT) i la seva sensorització, la recent arribada intel·ligència artificial, l’emmagatzematge al núvol, els bessons digitals, el big data... són tecnologies que obliguen a incrementar la seguretat. D’altra banda, el treball en remot a què va obligar la covid-19 va mostrar en més casos dels declarats com era de fàcil entrar als sistemes informàtics de moltes empreses.
Organització i formació.
Paral·lelament, Ferrer assenyala les normatives existents, tant en l’àmbit de la Unió Europea com de l’Estat. “N’hi ha moltes, el problema és que el grau de compliment és el que és. No s’apliquen amb rigorositat.” Ferrer destaca la normativa sancionadora referida a la protecció de les dades personals, en què “a l’empresa privada se li aplicarà una multa si hi ha incompliment, mentre que les administracions públiques queden exemptes de sanció econòmica”.
En aquest sentit, l’especialista en ciberseguretat de l’EAE Business School indica que la directiva europea NIS (Network and Information Security) del 2016, relativa a les mesures destinades a garantir un elevat nivell comú de seguretat de les xarxes i sistemes d’informació a la UE, es va revisar el desembre del 2022, “i la nova directiva (NIS2) ja preveu règim sancionador, entre d’altres, per a empreses de més de 250 treballadors i per a l’administració pública”.
La nova legislació inclou detalls molt concrets al voltant de la prevenció, la gestió de crisis, la resposta davant d’incidents o la necessitat d’utilitzar xifrat. “Tot i això, estem en espera de la transposició de la directiva a llei, que ha d’entrar en vigor com a límit el 15 d’octubre del 2024. Seria desitjable que aquesta data s’avancés, sobretot per com està evolucionant la ciberdelinqüència”.
Empreses del crim.
Entrar al sistema per prendre les dades, encriptar-les i demanar-ne un rescat és el tipus d’atac que reporta uns beneficis més grans, perquè, segons indiquen els experts consultats, tot i que l’afectat pagui el rescat i torni a tenir accés a les seves dades –malgrat que no sempre acaba sent així–, aquestes també acaben empaquetades i venudes a la internet fosca (dark web). “A l’Estat espanyol, el robatori de credencials és un dels delictes que més es comet, ja que a través d’aquestes credencials es pot accedir a l’empresa”, explica Josep Albors, director d’investigació i conscienciació d’ESET Espanya, companyia de software especialitzada en ciberseguretat.
El robatori de credencials és un dels camins més habituals que utilitzen els ciberdelinqüents per accedir als sistemes informàtics i infectar-los amb ransomware, els programes maliciosos que encripten les dades. En aquest sentit, i malgrat que no hi ha confirmació oficial, extraoficialment diverses fonts consultades assenyalen que en els atacs que han patit en els darrers dos anys diverses empreses i institucions públiques a Catalunya i a l’Estat, com ara Telefónica, Damm, la Universitat Autònoma de Barcelona i l’Hospital Clínic, el vector d’entrada als sistemes podria haver estat la filtració de credencials.
“Aquests grups de ciberdelinqüents busquen el benefici econòmic. Fins i tot s’associen entre si per perpetrar determinats atacs persistents, perquè també necessiten molta força computacional, i realitzen congressos on comenten com poden fer que els atacs siguin més lucratius. Alguns d’aquests grups són ben coneguts, almenys per al sector de la ciberseguretat”, comenta Albors, que indica com a més destacats els grups Lockbit 3.0 i ALPHV, també conegut com a BlackCat. Tots ofereixen RaaS.
Albors detalla que també “hi ha especialització geogràfica respecte al tipus d’atac”: “Mentre la majoria del tipus ransomware sembla ser que provenen de grups establerts a Rússia, la procedència dels troians bancaris té el seu origen sobretot al Brasil.” Els programes maliciosos (malware) pertanyen a un àmbit en constant creixement, “ja que tan aviat els serveis de seguretat en desactiven un, els delinqüents en creen un de nou”, assegura Albors.
Punt d’inflexió.
El 74% dels incidents informàtics delictius que es van produir l’any passat van fer servir els usuaris per aconseguir els seus objectius. “S’ha de fer perquè l’usuari sigui conscient de la cura que ha de tenir en aquest sentit, però els delinqüents són els qui accedeixen als sistemes, xifren les dades i extorsionen. Es culpabilitza sovint l’usuari que, certament, pot cometre errades, però no és un delinqüent.”
Què es pot fer?
En aquest sentit, Espinosa insisteix que la ciberseguretat no es pot seguir considerant una despesa d’empresa i que ha de situar-se en l’apartat de les inversions. “Les dades en l’àmbit de l’Estat ens indiquen que més de la meitat dels ciberatacs que es produeixen tenen les pimes com a objectiu, i el 60% de les que reben atacs pleguen al cap de sis mesos.” Estar protegits és fonamental, “tot i que la protecció total no existeix ni existirà mai”, puntualitza Espinosa, que també alerta que malgrat la proliferació d’atacs, “no podem tenir por de quelcom que ens passarà gairebé amb tota seguretat, un dia o un altre”. Per tant, usuaris i empreses han de ser curosos, prudents i tenir els deures fets quant a protecció informàtica i plans de contenció i recuperació.
Però la ciberseguretat va més enllà de les parets de l’empresa. “La cadena de subministrament és també una de les baules més febles de la seqüència de seguretat”, diu Espinosa. La protecció no ha de ser només de portes endins, sinó mútua i col·laborativa entre empresa i proveïdors per tal de prevenir la fuita de dades i l’extorsió, però també l’espionatge industrial. Així doncs, abordar els atacs que rebran les cadenes de subministrament serà un dels grans reptes de la ciberseguretat en els pròxims anys.
Segons l’informe d’amenaces elaborat per ESET, l’Estat espanyol segueix ocupant els primers llocs en el rànquing de països del món que més ciberamenaces detecten. En els últims quatre mesos de l’any passat, la companyia va identificar un creixement important de campanyes de correus electrònic de phising dirigides a obtenir credencials d’empreses, també d’infostealers o lladres d’informació i d’adware, anuncis maliciosos dirigits a telèfons mòbils que intenten que l’usuari es descarregui aplicacions malicioses o que introdueixi dades personals en webs fraudulentes.
L’informe ESET també alerta sobre la possibilitat que enguany s’incrementin els atacs a infraestructures crítiques. “La intel·ligència artificial o tecnologies com el ChatGPT o Bard poden fer més senzilla la feina dels delinqüents i donar una major credibilitat als seus correus maliciosos”, diu Albors.
Objectius.
A escala mundial, es preveu que la facturació global en ciberseguretat creixerà a un ritme del 13,6% anual fins al 2027, fins a assolir en aquella data una xifra pròxima als 300.000 milions de dòlars. Tot i que el nombre de professionals de la ciberseguretat no para de créixer, les vacants laborals en el sector van augmentar l’any passat a tot el món fins al 26%, fet que indica que hi ha 3,4 milions de places per cobrir. A Catalunya, l’any passat eren 26.000 els professionals de la ciberseguretat, un 23% més que l’any anterior, però van quedar 10.000 vacants per cobrir, un 57% més que el 2021.
El sector al país.
Barcelona és la sisena ciutat de la UE en valor de rondes d’inversió tancades per start-ups de l’àmbit de la ciberseguretat, amb 103,3 milions d’euros aconseguits entre el 2018 i el 2022. Catalunya es va situar l’any passat com a tercera regió de l’Europa occidental en captació d’inversió estrangera per al sector, fins a assolir 163,6 milions d’euros, un 7,2% del total invertit.
Mai confiar, sempre verificar, és la consigna que es dona des de totes les entitats que treballen per la ciberseguretat. La confiança zero (zero trust) és un enfocament estratègic que protegeix l’organització a través de l’eliminació de la confiança implícita i la validació continuada de cada etapa de la interacció digital. Els dispositius, components d’infraestructura, aplicacions i components virtuals i del núvol són actius que cal protegir. Les accions preventives i desconfiades dels usuaris són de vital importància en la cadena de seguretat.
Les magnituds de la ciberdelinqüència són esfereïdores. Només l’any passat, el cost de combatre-la es va situar al voltant dels 7.000 milions d’euros. I tot indica que s’anirà incrementant, sobretot tenint en compte que a la internet fosca (dark web) hi circulen 24.600 milions de credencials completes (usuari i contrasenya) i que el correu electrònic és la principal via de distribució de malware.
La dificultat d’accedir a les ciberassegurances
“Les companyies asseguradores han enfortit els paràmetres que cal complir per part de les empreses que volen contractar una ciberassegurança. “Abans, aquestes assegurances les feien a tort i a dret. Després del moment crític per a tots que va suposar l’any 2021 postpandèmic, han complicat molt el procediment, i costa més trobar una companyia que et vulgui assegurar la informació en cas de rebre un atac”, comenta Llum Pinter, especialista en seguretat informàtica i responsable d’aquest àmbit a la plataforma global d’innovació Plug and Play Tech Center a escala mundial. En aquest sentit, coincideixen diversos experts a afirmar que quan els atacs eren més esporàdics i lleugers, o bé les empreses acabaven assumint els costos de l’extorsió o ho feia la mateixa asseguradora. En els dos casos es buscava minimitzar l’impacte reputacional.
“Hem assegurat els sistemes d’informació, hem fet un pla de xoc, hem dut a terme simulacions d’atacs per explorar les possibles vulnerabilitats, tenim totes les certificacions i impliquem els nostres clients, a qui demanem uns mínims de seguretat per interactuar amb nosaltres. Fins i tot així, ens costa més trobar asseguradora”, explica Pinter, que assenyala com a raó l’increment d’atacs i la dimensió que estan prenent.
El nou mur quàntic
La criptografia quàntica deixa els futuribles per situar-se en el present. La Generalitat impulsa una prova pilot amb aquesta tecnologia en què participa l’Institut de Ciències Fotòniques (ICFO), centre referent a Europa en investigacions quàntiques, i el Centre de Telecomunicacions i Tecnologies de la Informació (CTTI), que ha de ser l’embrió d’una futura xarxa que es connectarà a la internet quàntica estatal i europea.
El govern espera convertir la iniciativa en un anell físic que envoltarà Barcelona i que connectarà diverses infraestructures i equipaments de la ciutat –posteriorment també s’establiran connexions via terrestre i satèl·lit amb altres punts estatals i internacionals–, amb l’objectiu de transmetre informació crítica de manera quantum-safe.
Aquest projecte està alineat amb l’estratègia quàntica Euro-QCI, pilar estratègic de la cibersegurat europea, en el qual participen diverses empreses catalanes, com LuxQuanta i Quside, entre d’altres.
“Treballem en el nivell més profund dels sistemes de seguretat: la generació de claus”, explica Vanesa Díaz, CEO i portaveu de LuxQuanta, una jove empresa que va néixer com a spin-off de l’ICFO i que EuroQCI l’ha situat al capdavant del consorci QUARTER, que ha d’avançar en la implementació d’aquesta xarxa quàntica segura per a les comunicacions europees que ha d’estar desplegada el 2027.
“La història de la criptografia ens diu que la possibilitat de trencar allò que tenim a hores d’ara és real, perquè sempre s’han acabat trencant els algoritmes més complicats que s’han anat creant. Cada cop ho posem més difícil, però hauríem de confiar en claus que no depenguin de la capacitat de computació de l’adversari. La criptografia d’avui es creu que es podrà trencar quan disposem de computadors quàntics amb un milió de qubits de capacitat”, afirma Díaz.
Per abordar avui aquesta situació futura, LuxQuanta ha creat el sistema de distribució de claus quàntiques NOVA LQ, que encripta les dades utilitzant propietats de la física quàntica i que es pot integrar a les xarxes òptiques convencionals. La deeptech ha desenvolupat una variació de la tecnologia QKD, anomenada CV-QKD, que garanteix que qualsevol intent d’un intrús per observar la informació del canal quàntic deixarà un rastre que detectarà el receptor.
Quside és una de les altres empreses catalanes que participa en el projecte QUARTER i, a més, és un dels proveïdors estratègics de LuxQuanta. “És el generador de nombres aleatoris més ràpid del mercat”, assegura Díaz.
Cofundada per Carlos Abellán, CEO de la companyia, i també nascuda al si de l’ICFO, Quside desenvolupa solucions d’aleatorietat avançades per a criptografia i computació d’alt rendiment. Entre d’altres, ofereix generadors de nombres aleatoris quàntics (QRNG) que faciliten la transició cap a una connectivitat més segura.
L’entrada de la intel·ligència artificial en la ciberseguretat facilitarà i accelerarà als ciberdelinqüents la desencriptació dels algoritmes matemàtics actuals, per complicats que siguin. La criptografia quàntica ara ja té capacitat per fer de mur de contenció.