Ciberataques: el reverso oscuro de la Industria 4.0

El pasado año, un fabricante español de zumos empezó a recibir numerosas quejas de los consumidores sobre el excesivo dulzor de sus productos. Los responsables de la compañía dieron con la causa: unos hackers (piratas informáticos) habían penetrado en el sistema informático y habían manipulado el dispensador encargado de echar el azúcar en las botellas, de forma que vertía el doble de la cantidad estipulada. El desaguisado le costó a la empresa en cuestión al menos dos millones de euros.

Casos como este son cada vez más frecuentes en todo el mundo. Según datos del Instituto Nacional de Ciberseguridad (Incibe), en Euskadi se registran cada día cerca de 2.400 ciberataques, la séptima comunidad autónoma en el ranking nacional, con el 4% del total. Resulta muy complicado cuantificar el coste que la delincuencia informática supone para la economía mundial, aunque un informe de la consultora Jamilton Place Strategies lo cifra en unos 400.000 millones de euros. Y advierte de que en los últimos cinco años se ha incrementado un 200%.

Nadie está libre de esta especie de amenaza fantasma creciente, ejecutada por ciberdelincuentes que se infiltran en los sistemas informáticos ajenos fundamentalmente en busca de datos que vender al mejor postor, claves bancarias con las que vaciar las cuentas de sus víctimas, o el chantaje puro y duro en pos de un rescate financiero.

Aunque naturalmente los ciudadanos de a pie también sufren la delincuencia de los piratas informáticos, las empresas -en tanto manejan una mayor cantidad de datos y disponen de más recursos financieros- constituyen por lógica su principal objetivo. PandaLabs, el laboratorio de Panda Security, alertaba en su último informe trimestral de que la creación de 'malware' (software malicioso) «sigue batiendo récords, con más de 20 millones de nuevas muestras identificadas, una media de 227.000 al día».

El equipo de respuesta de incidentes del Incibe -organismo dependiente del Ministerio de Industria, Energía y Turismo- gestionó el pasado años 50.000 ataques, mientras que el año anterior fueron tres veces menos. «Y este año se espera que sea el doble», calcula Alejandro López, responsable de área en la Dirección de Operaciones. «Aunque tampoco sabemos realmente si se debe a un incremento de las amenazas, o a un aumento de nuestra capacidad para detectarlas», matiza.

El fenómeno 'ransomware'

El informe 'Caracterización del subsector y el mercado de la ciberseguridad 2015' -elaborado por el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (Ontsi)- clasifica los tipos de incidentes informáticos en dos tipologías fundamentales. Una, relacionada con la información: provocar una pérdida o uso indebido de la información, espionaje, fraude, o robo de identidad, entre otros. Por otro lado están los incidentes que tienen que ver con la infraestructura de las tecnologías de la información. Son aquellos que producen la interrupción parcial o total de los sistemas de información. Los más comunes son la infección por malware y los ataques contra redes.

PandaLabs detecta un auge de las infecciones de ransomware englobado dentro del grupo de los virus 'troyanos'. Se trata de uno de los ataques «más populares» entre los ciberdelincuentes, «ya que les permite obtener dinero de forma sencilla y segura». Consiste básicamente en que el 'hacker' se infiltra en el ordenador para robar información de la víctima o bloquear los sistemas informáticos. A cambio de devolver el botín robado o desbloquear los equipos, los delincuentes exigen un rescate. «Cada vez son más las empresas que están cayendo en sus redes, llegando a pagar millones de euros por rescatar la información robada», destaca el informe de PandaLabs.

Poco a poco las empresas van tomando conciencia de la dimensión de este nuevo problema, aunque menos en España que en el resto de Europa. La previsión de gasto en ciberseguridad de las compañías es de un crecimiento cercana al 30% en la mayoría de países. En Italia y España ese porcentaje se queda en el 26 y el 22 respectivamente, según el Otsi. Las perspectivas para 2019 siguen la misma tendencia, de forma que España se situaría por detrás de los países equiparables de su entorno. «Se puede decir que las empresas empiezan a concienciarse, aunque relativamente, porque la gente 'de arriba' aún no le da la suficiente importancia a nivel estratégico y presupuestario», considera Jon Azkarate, presidente de Pribatua, la Asociación Vasca de Privacidad y Seguridad de la Información.

La demanda de soluciones de ciberseguridad en el sector privado difiere según la tipología de la empresa. «La estrategia tradicional pasa por poner un antivirus. Pero las amenazas actuales están diseñadas para esquivarlos», sostiene Luis Corrons, director técnico de PandaLabs. «Hacen falta soluciones más avanzadas, de nueva generación. Por ejemplo, una que te permita clasificar todo lo que se va a ejecutar en los ordenadores. Hacer un seguimiento de lo que puede ser bueno, y lo que puede ser malo. Un programa que te permita ver qué se está haciendo con estos datos», añade.

Ese tipo de «soluciones industriales, con una alta especialización en el sector, en la región, o en la tecnología, y soluciones de seguridad integral» -según el informe de la Ontsi- son la que requieren las empresas pertenecientes a sectores catalogados como infraestructuras críticas (la que proporciona servicios esenciales). En este apartado entran compañías como Aramco, la petrolífera saudí que en 2012 fue objeto de uno de los peores ciberataques que se recuerdan: 35.000 ordenadores fueron borrados parcialmente, y muchos de ellos destruidos. El ataque puso en jaque la capacidad de la compañía para suministrar el 10% del petróleo de todo el planeta.

El peligro está dentro

El resto de las grandes empresas también son susceptibles de ataque de ciberespionaje industrial, de control e interrupción de sistemas y de sustracción y venta de información confidencial. «Sin embargo, una de las mayores amenazas son los 'insiders', personas que han mantenido o mantienen alguna relación con la empresa y tienen o han tenido acceso a información sensible y a los sistemas de la misma», se advierte en el estudio. «Hay mucho peligro fuera, pero realmente las amenazas casi siempre vienen por temas de personal interno: alguien al que le roban ratos, o que hace 'click' en un correo que no debía. Es por la falta no sólo de concienciación, sino también de formación, que aún existe», corrobora Azkarate.

«Lo que está claro es que en la era digital en la que vivimos las empresas no pueden permitirse el lujo de gastarse 'cero' en seguridad. Pero es importante señalar que no existe tampoco una relación directamente proporcional entre el gasto en seguridad y la preparación de una determinada empresa, grande o pequeña frente a ciberamenazas. Porque a veces los controles más eficaces no tienen por qué ser aquellos que conlleven una mayor inversión, sino que se basan más en el establecimiento de procedimientos o procesos y sobre todo en la concienciación de las personas responsables, algo que habitualmente se descuida en organizaciones pequeñas pero también en las más grandes», valoran responsable del área de Seguridad TI de Euskaltel.

Para las pymes, autónomos y particulares, la principal amenaza es el uso/abuso o reventa de información privada que han proporcionado como clientes a organizaciones privadas, y los ataques de la ciberdelincuencia. Los productos de seguridad orientados a estos clientes son soluciones básicas, herramientas puras de ciberseguridad, como un antivirus.

«En Euskadi el problema es que tenemos empresas pequeñas, que carecen de personal especializado en seguridad. Incluso me atrevería a decir que en informática. No es el 'core' de su negocio. Y la mayoría sólo se preocupa cuando ya se ha producido el ataque», dice Corrons.

Pero hay un nuevo terreno de juego, en el que no están precisamente las microempresas en el que se libra una batalla entre a ciberseguridad y los delincuentes informáticos: la Industria 4.0, la de la fabricación informatizada y el Internet de las Cosas. «Antes, por un lado estaban los que producían (chapa, tornillos, o que fuera.) y por otro el departamento informático. Pero ahora los están juntando. Y los dirigentes de muchas empresas están pensando en la producción, No hacen una evaluación de riesgo pensando el gasto que podría suponerles que se les parara la producción por un virus. El perjuicio causado puede ser mucho mayor que la aportación económica para una solución segura», cree Jon Azkarate, de Pribatua.

«Muchos de los sistemas de producción con los que funciona la Industria 4.0 son los que ya existían, pero conectados a Internet», expone Corrons. Este nuevo paradigma de la producción industrial, un avance en toda regla en muchos ámbitos, tiene en la seguridad uno de sus reversos oscuros. Corrons pone un ejemplo: «El año pasado la revista Wired Magazine demostró como un coche -en este caso un Jeep Cherokee- conectado a internet podía ser hackeado a distancia. Los piratas informáticos elegidos para realizar la prueba pudieron controlar todo lo que hacía el coche: desde subir o bajar el volumen de la radio, activar los limpiaparabrisas, e incluso acelerarlo.».