Focus

Alarma pels ciberatacs a la carta

La ciberdelinqüència guanya expertesa, esdevé professional i multiplica atacs cada vegada més estructurats L’usuari és primordial en la protecció del sistema

El 60% de les pimes que són atacades pleguen al cap de sis mesos
Mònica Espinosa
Agència de Ciberseguretat de Catalunya
Els delinqüents es reuneixen per discutir com fer els atacs més lucratius
Josep Albors
ESET Espanya
La ciberseguretat també implica mesures organitzatives de l’empresa
Jordi Ferrer
EAE Business School
Les cadenes de subministrament seran un dels grans reptes de futur
L’enfocament “confiança zero” és una bona estratègia de protecció
En el 74% dels incidents es va fer servir l’usuari per perpetrar l’atac

La ciber­de­linqüència ha superat el glo­bal de les xifres del tràfic d’armes, dro­gues i per­so­nes, i va asso­lir l’any pas­sat un valor pròxim a l’1,5% del PIB mun­dial. Els seus objec­tius són qual­se­vol sis­tema informàtic que con­tin­gui dades sus­cep­ti­bles de poder ser venu­des, que ho són pràcti­ca­ment tots, però té pre­ferència per les empre­ses, els governs i les admi­nis­tra­ci­ons.

“Ens tro­bem en un moment de gran pola­rit­zació política, con­flic­tes bèl·lics, crisi energètica i ali­mentària i inflació econòmica, i tot això ha pro­vo­cat que la ciber­de­linqüència hagi esde­vin­gut una opció molt via­ble per a mol­tes per­so­nes. Les xifres ho con­fir­men”, va asse­gu­rar Fran­cisco Valen­cia, direc­tor gene­ral de la com­pa­nyia espa­nyola Secure&IT, durant la jor­nada La res­pon­sa­bi­li­tat de l’empresa davant les noves ame­na­ces.

De ciber­de­linqüents n’hi ha de dife­rents per­fils, des de qui actua sol fins als grups orga­nit­zats. “Ara s’està veient que es duen a terme atacs molt ben tre­ba­llats i ela­bo­rats. Són grups que actuen com a sica­ris als quals es con­trac­ten ser­veis. Tenen molta capa­ci­tat de mone­tit­zar els atacs que per­pe­tren i, d’altra banda, arri­bar a esbri­nar la traçabi­li­tat del seu atac és molt com­pli­cat”, explica Jordi Fer­rer, pro­fes­sor espe­ci­a­lista en ciber­se­gu­re­tat de l’EAE Busi­ness School.

Els grups de ciber­de­linqüents, segons Fer­rer, “solen arri­bar allà on volen a través d’atacs per­sis­tents. Tenen grans conei­xe­ments informàtics, cen­te­nars d’ordi­na­dors dis­tribuïts per tot el món i per­so­nes molt exper­tes que tre­ba­llen per a ells. En defi­ni­tiva, acon­se­guei­xen avançar-se a les empre­ses de segu­re­tat”.

La indústria està vivint la revo­lució de la con­nec­ti­vi­tat: la inter­net de les coses (IoT) i la seva sen­so­rit­zació, la recent arri­bada intel·ligència arti­fi­cial, l’emma­gat­ze­matge al núvol, els bes­sons digi­tals, el big data... són tec­no­lo­gies que obli­guen a incre­men­tar la segu­re­tat. D’altra banda, el tre­ball en remot a què va obli­gar la covid-19 va mos­trar en més casos dels decla­rats com era de fàcil entrar als sis­te­mes informàtics de mol­tes empre­ses.

Orga­nit­zació i for­mació.

Ara bé, tal com alerta Fer­rer: “La ciber­se­gu­re­tat també implica mesu­res orga­nit­za­ti­ves. L’empresa ha de for­mar i entre­nar els usu­a­ris del seu sis­tema perquè allò segur és que els ciber­de­linqüents apro­fi­ta­ran qual­se­vol vul­ne­ra­bi­li­tat per fer efec­tiva la seva amenaça. S’ha de par­lar de suplan­ta­ci­ons d’iden­ti­tat a través de cor­reu electrònic, SMS i fins i tot mis­sat­ges de veu fal­sos. L’usu­ari final és una baula impor­tant en el sis­tema de segu­re­tat de cada empresa, enti­tat o admi­nis­tració i se l’ha de for­mar en aquest sen­tit.”

Paral·lela­ment, Fer­rer asse­nyala les nor­ma­ti­ves exis­tents, tant en l’àmbit de la Unió Euro­pea com de l’Estat. “N’hi ha mol­tes, el pro­blema és que el grau de com­pli­ment és el que és. No s’apli­quen amb rigo­ro­si­tat.” Fer­rer des­taca la nor­ma­tiva san­ci­o­na­dora refe­rida a la pro­tecció de les dades per­so­nals, en què “a l’empresa pri­vada se li apli­carà una multa si hi ha incom­pli­ment, men­tre que les admi­nis­tra­ci­ons públi­ques que­den exemp­tes de sanció econòmica”.

En aquest sen­tit, l’espe­ci­a­lista en ciber­se­gu­re­tat de l’EAE Busi­ness School indica que la direc­tiva euro­pea NIS (Network and Infor­ma­tion Secu­rity) del 2016, rela­tiva a les mesu­res des­ti­na­des a garan­tir un ele­vat nivell comú de segu­re­tat de les xar­xes i sis­te­mes d’infor­mació a la UE, es va revi­sar el desem­bre del 2022, “i la nova direc­tiva (NIS2) ja pre­veu règim san­ci­o­na­dor, entre d’altres, per a empre­ses de més de 250 tre­ba­lla­dors i per a l’admi­nis­tració pública”.

La nova legis­lació inclou detalls molt con­crets al vol­tant de la pre­venció, la gestió de cri­sis, la res­posta davant d’inci­dents o la neces­si­tat d’uti­lit­zar xifrat. “Tot i això, estem en espera de la trans­po­sició de la direc­tiva a llei, que ha d’entrar en vigor com a límit el 15 d’octu­bre del 2024. Seria desit­ja­ble que aquesta data s’avancés, sobre­tot per com està evo­lu­ci­o­nant la ciber­de­linqüència”.

Empre­ses del crim.

La pro­fes­si­o­na­lit­zació de la ciber­de­linqüència ha por­tat els grups a fun­ci­o­nar com si fos­sin empre­ses, amb estruc­tu­res ver­ti­cals que bus­quen incre­men­tar ingres­sos, reduir cos­tos i millo­rar l’eficàcia del negoci per fer-lo créixer tant com pugui i com més aviat millor. La tipo­lo­gia del negoci també ha anat vari­ant, i es podria dir que hi ha grups empresa locals i grups cor­po­ra­ci­ons que actuen a escala glo­bal i sota comanda, cone­guts com a ran­somware as a ser­vice (RaaS) o ser­vei de segrest de dades.

Entrar al sis­tema per pren­dre les dades, encrip­tar-les i dema­nar-ne un res­cat és el tipus d’atac que reporta uns bene­fi­cis més grans, perquè, segons indi­quen els experts con­sul­tats, tot i que l’afec­tat pagui el res­cat i torni a tenir accés a les seves dades –mal­grat que no sem­pre acaba sent així–, aques­tes també aca­ben empa­que­ta­des i venu­des a la inter­net fosca (dark web). “A l’Estat espa­nyol, el roba­tori de cre­den­ci­als és un dels delic­tes que més es comet, ja que a través d’aques­tes cre­den­ci­als es pot acce­dir a l’empresa”, explica Josep Albors, direc­tor d’inves­ti­gació i cons­ci­en­ci­ació d’ESET Espa­nya, com­pa­nyia de software espe­ci­a­lit­zada en ciber­se­gu­re­tat.

El roba­tori de cre­den­ci­als és un dels camins més habi­tu­als que uti­lit­zen els ciber­de­linqüents per acce­dir als sis­te­mes informàtics i infec­tar-los amb ran­somware, els pro­gra­mes mali­ci­o­sos que encrip­ten les dades. En aquest sen­tit, i mal­grat que no hi ha con­fir­mació ofi­cial, extra­o­fi­ci­al­ment diver­ses fonts con­sul­ta­des asse­nya­len que en els atacs que han patit en els dar­rers dos anys diver­ses empre­ses i ins­ti­tu­ci­ons públi­ques a Cata­lu­nya i a l’Estat, com ara Telefónica, Damm, la Uni­ver­si­tat Autònoma de Bar­ce­lona i l’Hos­pi­tal Clínic, el vec­tor d’entrada als sis­te­mes podria haver estat la fil­tració de cre­den­ci­als.

“Aquests grups de ciber­de­linqüents bus­quen el bene­fici econòmic. Fins i tot s’asso­cien entre si per per­pe­trar deter­mi­nats atacs per­sis­tents, perquè també neces­si­ten molta força com­pu­ta­ci­o­nal, i rea­lit­zen con­gres­sos on comen­ten com poden fer que els atacs siguin més lucra­tius. Alguns d’aquests grups són ben cone­guts, almenys per al sec­tor de la ciber­se­gu­re­tat”, comenta Albors, que indica com a més des­ta­cats els grups Lock­bit 3.0 i ALPHV, també cone­gut com a Black­Cat. Tots ofe­rei­xen RaaS.

Albors deta­lla que també “hi ha espe­ci­a­lit­zació geogràfica res­pecte al tipus d’atac”: “Men­tre la majo­ria del tipus ran­somware sem­bla ser que pro­ve­nen de grups esta­blerts a Rússia, la pro­cedència dels tro­ians ban­ca­ris té el seu ori­gen sobre­tot al Bra­sil.” Els pro­gra­mes mali­ci­o­sos (malware) per­ta­nyen a un àmbit en cons­tant crei­xe­ment, “ja que tan aviat els ser­veis de segu­re­tat en desac­ti­ven un, els delinqüents en creen un de nou”, asse­gura Albors.

Punt d’inflexió.

La fi de la pandèmia va mar­car l’inici d’una època dolça per a la ciber­de­linqüència i crítica per a la ciber­se­gu­re­tat. “Fins al 2021, el per­cen­tatge d’atacs se situ­ava al vol­tant de l’11%. A par­tir d’aquell any, l’incre­ment arriba al 30%”, afirma Mònica Espi­nosa, direc­tora de l’Àrea Cen­tre d’Inno­vació i Com­petència en Ciber­se­gu­re­tat a l’Agència de Ciber­se­gu­re­tat de Cata­lu­nya.

El 74% dels inci­dents informàtics delic­tius que es van pro­duir l’any pas­sat van fer ser­vir els usu­a­ris per acon­se­guir els seus objec­tius. “S’ha de fer perquè l’usu­ari sigui cons­ci­ent de la cura que ha de tenir en aquest sen­tit, però els delinqüents són els qui acce­dei­xen als sis­te­mes, xifren les dades i extor­si­o­nen. Es cul­pa­bi­litza sovint l’usu­ari que, cer­ta­ment, pot come­tre erra­des, però no és un delinqüent.”

Què es pot fer?

La for­mació dels emple­ats per fer un bon ús dels sis­te­mes informàtics és fona­men­tal per evi­tar ensurts. Espi­nosa acon­se­lla “crear una cul­tura d’empresa al vol­tant de la ciber­se­gu­re­tat, ela­bo­rar una política clara per als cor­reus electrònics i per a l’ús dels dis­po­si­tius per­so­nals per a temes empre­sa­ri­als, ela­bo­rar un pla de recu­pe­ració per si es pateix un atac, fer les con­ne­xi­ons empresa-emple­ats a través de VPN (xarxa pri­vada vir­tual), desac­ti­var les càmeres de portàtils i mòbils quan no s’esti­guin uti­lit­zant, fer simu­la­cres d’inci­dents com es fan d’incen­dis i tenir el sis­tema de segu­re­tat per­ma­nent­ment actu­a­lit­zat. Sem­blen qüesti­ons molt bàsiques, però en molts cen­tres de tre­ball no es tenen en compte”.

En aquest sen­tit, Espi­nosa insis­teix que la ciber­se­gu­re­tat no es pot seguir con­si­de­rant una des­pesa d’empresa i que ha de situar-se en l’apar­tat de les inver­si­ons. “Les dades en l’àmbit de l’Estat ens indi­quen que més de la mei­tat dels cibe­ra­tacs que es pro­du­ei­xen tenen les pimes com a objec­tiu, i el 60% de les que reben atacs ple­guen al cap de sis mesos.” Estar pro­te­gits és fona­men­tal, “tot i que la pro­tecció total no exis­teix ni exis­tirà mai”, pun­tu­a­litza Espi­nosa, que també alerta que mal­grat la pro­li­fe­ració d’atacs, “no podem tenir por de quel­com que ens pas­sarà gai­rebé amb tota segu­re­tat, un dia o un altre”. Per tant, usu­a­ris i empre­ses han de ser curo­sos, pru­dents i tenir els deu­res fets quant a pro­tecció informàtica i plans de con­tenció i recu­pe­ració.

Però la ciber­se­gu­re­tat va més enllà de les parets de l’empresa. “La cadena de sub­mi­nis­tra­ment és també una de les bau­les més febles de la seqüència de segu­re­tat”, diu Espi­nosa. La pro­tecció no ha de ser només de por­tes endins, sinó mútua i col·labo­ra­tiva entre empresa i proveïdors per tal de pre­ve­nir la fuita de dades i l’extorsió, però també l’espi­o­natge indus­trial. Així doncs, abor­dar els atacs que rebran les cade­nes de sub­mi­nis­tra­ment serà un dels grans rep­tes de la ciber­se­gu­re­tat en els pròxims anys.

Segons l’informe d’ame­na­ces ela­bo­rat per ESET, l’Estat espa­nyol segueix ocu­pant els pri­mers llocs en el rànquing de països del món que més cibe­ra­me­na­ces detec­ten. En els últims qua­tre mesos de l’any pas­sat, la com­pa­nyia va iden­ti­fi­car un crei­xe­ment impor­tant de cam­pa­nyes de cor­reus electrònic de phi­sing diri­gi­des a obte­nir cre­den­ci­als d’empre­ses, també d’infos­te­a­lers o lla­dres d’infor­mació i d’adware, anun­cis mali­ci­o­sos diri­gits a telèfons mòbils que inten­ten que l’usu­ari es des­car­re­gui apli­ca­ci­ons mali­ci­o­ses o que intro­du­eixi dades per­so­nals en webs frau­du­len­tes.

L’informe ESET també alerta sobre la pos­si­bi­li­tat que enguany s’incre­men­tin els atacs a infra­es­truc­tu­res crítiques. “La intel·ligència arti­fi­cial o tec­no­lo­gies com el ChatGPT o Bard poden fer més sen­zi­lla la feina dels delinqüents i donar una major cre­di­bi­li­tat als seus cor­reus mali­ci­o­sos”, diu Albors.

Objec­tius.

Segons l’Agència de Ciber­se­gu­re­tat de Cata­lu­nya, les dades de les admi­nis­tra­ci­ons públi­ques també són un objec­tiu lla­mi­ner per a la ciber­de­linqüència. En aquest àmbit, des del 2022, l’Agència ha ges­ti­o­nat 287 cibe­ra­tacs. Res­pecte a la situ­ació actual, les xifres del pri­mer tri­mes­tre d’enguany res­pecte a les de l’últim de l’any pas­sat indi­quen que hi ha hagut un incre­ment del 26% del ran­somware, un 27% de phis­hing, un 14% d’atacs de DDoS i un 12% de fui­tes de dades. Els sec­tors més afec­tats pels atacs ran­somware van ser el govern i l’admi­nis­tració pública (28%), el sec­tor sani­tari (16%) i el tec­nològic (13%).

A escala mun­dial, es pre­veu que la fac­tu­ració glo­bal en ciber­se­gu­re­tat crei­xerà a un ritme del 13,6% anual fins al 2027, fins a asso­lir en aque­lla data una xifra pròxima als 300.000 mili­ons de dòlars. Tot i que el nom­bre de pro­fes­si­o­nals de la ciber­se­gu­re­tat no para de créixer, les vacants labo­rals en el sec­tor van aug­men­tar l’any pas­sat a tot el món fins al 26%, fet que indica que hi ha 3,4 mili­ons de pla­ces per cobrir. A Cata­lu­nya, l’any pas­sat eren 26.000 els pro­fes­si­o­nals de la ciber­se­gu­re­tat, un 23% més que l’any ante­rior, però van que­dar 10.000 vacants per cobrir, un 57% més que el 2021.

El sec­tor al país.

Cata­lu­nya també es trac­tora de talent en l’àmbit de la ciber­se­gu­re­tat. Segons l’últim informe del sec­tor, ela­bo­rat per l’Agència de Ciber­se­gu­re­tat de Cata­lu­nya i ACCIÓ i refe­rit al 2022, al país hi ha 495 empre­ses que tre­ba­llen en aquest àmbit, un 14,6% més que l’any ante­rior. La fac­tu­ració glo­bal d’aques­tes supera els 1.000 mili­ons d’euros i donen feina a més de 9.400 per­so­nes. El 29,1% tenen menys de deu anys i el 9,5% són start-ups. La majo­ria es con­cen­tren a l’àrea metro­po­li­tana de Bar­ce­lona (83,4%) i el 89,7%, cen­tren el seu negoci en la pro­tecció, seguida de la iden­ti­fi­cació, amb el 58,7%.

Bar­ce­lona és la sisena ciu­tat de la UE en valor de ron­des d’inversió tan­ca­des per start-ups de l’àmbit de la ciber­se­gu­re­tat, amb 103,3 mili­ons d’euros acon­se­guits entre el 2018 i el 2022. Cata­lu­nya es va situar l’any pas­sat com a ter­cera regió de l’Europa occi­den­tal en cap­tació d’inversió estran­gera per al sec­tor, fins a asso­lir 163,6 mili­ons d’euros, un 7,2% del total inver­tit.

Mai con­fiar, sem­pre veri­fi­car, és la con­signa que es dona des de totes les enti­tats que tre­ba­llen per la ciber­se­gu­re­tat. La con­fiança zero (zero trust) és un enfo­ca­ment estratègic que pro­te­geix l’orga­nit­zació a través de l’eli­mi­nació de la con­fiança implícita i la vali­dació con­ti­nu­ada de cada etapa de la interacció digi­tal. Els dis­po­si­tius, com­po­nents d’infra­es­truc­tura, apli­ca­ci­ons i com­po­nents vir­tu­als i del núvol són actius que cal pro­te­gir. Les acci­ons pre­ven­ti­ves i des­con­fi­a­des dels usu­a­ris són de vital importància en la cadena de segu­re­tat.

Les mag­ni­tuds de la ciber­de­linqüència són esfereïdores. Només l’any pas­sat, el cost de com­ba­tre-la es va situar al vol­tant dels 7.000 mili­ons d’euros. I tot indica que s’anirà incre­men­tant, sobre­tot tenint en compte que a la inter­net fosca (dark web) hi cir­cu­len 24.600 mili­ons de cre­den­ci­als com­ple­tes (usu­ari i con­tra­se­nya) i que el cor­reu electrònic és la prin­ci­pal via de dis­tri­bució de malware.

La dificultat d’accedir a les ciberassegurances

“Les companyies asseguradores han enfortit els paràmetres que cal complir per part de les empreses que volen contractar una ciberassegurança. “Abans, aquestes assegurances les feien a tort i a dret. Després del moment crític per a tots que va suposar l’any 2021 postpandèmic, han complicat molt el procediment, i costa més trobar una companyia que et vulgui assegurar la informació en cas de rebre un atac”, comenta Llum Pinter, especialista en seguretat informàtica i responsable d’aquest àmbit a la plataforma global d’innovació Plug and Play Tech Center a escala mundial. En aquest sentit, coincideixen diversos experts a afirmar que quan els atacs eren més esporàdics i lleugers, o bé les empreses acabaven assumint els costos de l’extorsió o ho feia la mateixa asseguradora. En els dos casos es buscava minimitzar l’impacte reputacional.

“Hem assegurat els sistemes d’informació, hem fet un pla de xoc, hem dut a terme simulacions d’atacs per explorar les possibles vulnerabilitats, tenim totes les certificacions i impliquem els nostres clients, a qui demanem uns mínims de seguretat per interactuar amb nosaltres. Fins i tot així, ens costa més trobar asseguradora”, explica Pinter, que assenyala com a raó l’increment d’atacs i la dimensió que estan prenent.

El nou mur quàntic

M.S

La criptografia quàntica deixa els futuribles per situar-se en el present. La Generalitat impulsa una prova pilot amb aquesta tecnologia en què participa l’Institut de Ciències Fotòniques (ICFO), centre referent a Europa en investigacions quàntiques, i el Centre de Telecomunicacions i Tecnologies de la Informació (CTTI), que ha de ser l’embrió d’una futura xarxa que es connectarà a la internet quàntica estatal i europea.

El govern espera convertir la iniciativa en un anell físic que envoltarà Barcelona i que connectarà diverses infraestructures i equipaments de la ciutat –posteriorment també s’establiran connexions via terrestre i satèl·lit amb altres punts estatals i internacionals–, amb l’objectiu de transmetre informació crítica de manera quantum-safe.

Aquest projecte està alineat amb l’estratègia quàntica Euro-QCI, pilar estratègic de la cibersegurat europea, en el qual participen diverses empreses catalanes, com LuxQuanta i Quside, entre d’altres.

“Treballem en el nivell més profund dels sistemes de seguretat: la generació de claus”, explica Vanesa Díaz, CEO i portaveu de LuxQuanta, una jove empresa que va néixer com a spin-off de l’ICFO i que EuroQCI l’ha situat al capdavant del consorci QUARTER, que ha d’avançar en la implementació d’aquesta xarxa quàntica segura per a les comunicacions europees que ha d’estar desplegada el 2027.

“La història de la criptografia ens diu que la possibilitat de trencar allò que tenim a hores d’ara és real, perquè sempre s’han acabat trencant els algoritmes més complicats que s’han anat creant. Cada cop ho posem més difícil, però hauríem de confiar en claus que no depenguin de la capacitat de computació de l’adversari. La criptografia d’avui es creu que es podrà trencar quan disposem de computadors quàntics amb un milió de qubits de capacitat”, afirma Díaz.

Per abordar avui aquesta situació futura, LuxQuanta ha creat el sistema de distribució de claus quàntiques NOVA LQ, que encripta les dades utilitzant propietats de la física quàntica i que es pot integrar a les xarxes òptiques convencionals. La deeptech ha desenvolupat una variació de la tecnologia QKD, anomenada CV-QKD, que garanteix que qualsevol intent d’un intrús per observar la informació del canal quàntic deixarà un rastre que detectarà el receptor.

Quside és una de les altres empreses catalanes que participa en el projecte QUARTER i, a més, és un dels proveïdors estratègics de LuxQuanta. “És el generador de nombres aleatoris més ràpid del mercat”, assegura Díaz.

Cofundada per Carlos Abellán, CEO de la companyia, i també nascuda al si de l’ICFO, Quside desenvolupa solucions d’aleatorietat avançades per a criptografia i computació d’alt rendiment. Entre d’altres, ofereix generadors de nombres aleatoris quàntics (QRNG) que faciliten la transició cap a una connectivitat més segura.

L’entrada de la intel·ligència artificial en la ciberseguretat facilitarà i accelerarà als ciberdelinqüents la desencriptació dels algoritmes matemàtics actuals, per complicats que siguin. La criptografia quàntica ara ja té capacitat per fer de mur de contenció.



Identificar-me. Si ja sou usuari verificat, us heu d'identificar. Vull ser usuari verificat. Per escriure un comentari cal ser usuari verificat.
Nota: Per aportar comentaris al web és indispensable ser usuari verificat i acceptar les Normes de Participació.