Bancos, tecnológicas, energéticas... quién está detrás de la ola de ciberataques y qué buscan

Convivir con ciberataques es algo a lo que se van acostumbrando los usuarios y las empresas en los últimos años. Si España sufrió los atracos a los bancos en los años 90 a punta de pistola, ahora el orden público lo alteran delincuentes detrás de un ordenador desde el otro extremo del mundo.

Es mucho más sofisticado acceder a los registros y llevarse cantidades ingentes de documentos digitales que entrar a una sucursal al grito de «¡Manos arriba, esto es un atraco!». Ya no hay pasamontañas ni violencia física. Ahora hay brechas de seguridad y mails con troyanos que los trabajadores abren engañados para facilitar el acceso a los ciberdelincuentes.

En las últimas semanas se han multiplicado los ciberataques en España y también a nivel mundial con casos como el de Ticketmaster. Algunos expertos creen que puede ser una coincidencia en el tiempo, aunque otros recuerdan el aumento de ataques de grupos criminales de origen ruso.

En el caso de España, el Centro Criptológico Nacional registra la cifra de 940.776 cibercrímenes en los últimos nueve meses, lo que supone un incremento del 21,5 % respecto al año anterior.

Algunos expertos creen que puede ser una coincidencia en el tiempo

En mayo, el Banco Santander informó de una acción contra una base de datos de un proveedor que permitió el acceso a información de clientes en Chile, España y Uruguay. Otro caso es el de Iberdrola, que sufrió un asalto que expuso datos de 850.000 clientes. También la DGT se ha visto afectada y la Guardia Civil investiga un posible ataque a la base de datos de conductores.

Santander, Iberdrola o Telefónica

Uno de los principales portales de venta de entradas para eventos, Ticketmaster, sufrió el robo de datos de unos 560 millones de cliente, acción no confirmada por la empresa, pero que se ha atribuido el grupo de ciberdelincuentes ShinyHunters.

Incluso Telefónica tuvo que hacer frente a una posible brecha de seguridad por donde, según un foro de hackers, se había sustraído información no sensible de miles de clientes.

Sancho Lerena, CEO de la tecnológica española Pandora FMS comenta que los operadores estratégicos españoles «están más amenazados que nunca» como consecuencia de la digitalización y de las tensiones geopolíticas. De hecho, pese a que la cifra total ha descendido un 80 % en cuatro años según los datos analizados por Pandora FMS en el histórico de Incibe (Instituto Nacional de Ciberseguridad), hay sectores como el bancario y el transporte que siguen acumulando el 25 %.

Beneficio económico

Saber de forma clara quién está detrás de estos delitos es «prácticamente imposible» a no ser que el autor lo haga público, como habría sido el caso de Ticketmaster, indica el director general de la empresa española de ciberseguridad S2 Grupo, José Rossell.

La serie de ataques conocida estos días ha sido «más coincidencia en el tiempo que otra cosa», considera el director de investigación y concienciación de la firma de seguridad ESET España, Josep Albors.

El aumento de los ataques cibernéticos es «una tónica que se viene incrementando», algo que se ve «día sí y día también» en países como Estados Unidos o Alemania, y ahora han coincidido en el tiempo varios ataques a empresas españolas, señala.

Los operadores estratégicos españoles están más amenazados que nuncaSancho LerenaPandora FMS

Para el experto se trata de grupos que actúan buscando «un beneficio económico» con la venta de los datos sustraídos y no cree que sean consecuencia de acciones políticas: «No hay un complot internacional».

Sancho Lerena explica que los ciberataques pueden variar en cuanto a objetivos, «pueden ir a por los datos para luego venderlos, a suspender la actividad o a pedir un rescate».

Grupos rusos

Aún sin poder decir a ciencia cierta quién está detrás de estos robos, Rossell recuerda que en los últimos tiempos se ha detectado un aumento importante de ciberataques por grupos criminales de origen ruso.

Empresas españolas y europeas reciben ataques desde el principio de la guerra de Ucrania en 2022, el 2023 y el comienzo de 2024, «este último año ha sido de locos», aunque «no hay pruebas que los vinculen con una estrategia geopolítica».

En la mayoría son secuestros y robos de información para venderla después en el mercado negroJosé RossellS2 Grupo

En su opinión, estos grupos «lo que están haciendo es buscar dinero, porque en la mayoría son secuestros y robos de información para venderla después en el mercado negro».

Más ciberataques

El responsable de S2 Grupo reitera que, lo que está sucediendo en general, es que «hay grupos de origen del crimen ruso que están campando a sus anchas por el mundo».

Un aumento de ciberataques que no sólo afecta a España, sino también a Europa y «ha habido ataques masivos en Latinoamérica que han tumbado países, por ejemplo Costa Rica» donde la información sustraída al Ministerio de Hacienda en 2022 se intentó vender por 10 millones de euros. El gobierno del país dio de baja los sistemas informáticos y necesitó ayuda de Estados Unidos, Israel y España, además de Microsoft.

El grupo de origen ruso conocido como Conti se atribuyó la responsabilidad de la ola inicial de ataques, mientras que otra banda rusa llamada «Hive» afirmó estar detrás de ataques posteriores.

El ciberataque a Costa Rica le costó al país 30 millones de euros diarios

En el caso de las dos empresas españolas, la energética Iberdrola señaló al informar de la intrusión que los datos expuestos era de contacto de los clientes; el Banco Santander también dijo que no había credenciales de acceso o contraseñas.

Menos ataques

Según el análisis de la compañía Pandora FMS en base a los históricos de Incibe, en 2020 se gestionaron 1.190 incidencias entre los operadores estratégicos. En 2021 se redujeron a 680. En 2022 el número cayó hasta los 546 y en 2023, dato más reciente confirmado por el organismo público, la cifra es de 237.

Pese a que sectores como el agua bajan más de un 10 % las incidencias sufridas hasta un bajo 4 %, se mantiene un alto porcentaje en el sector financiero sin apenas modificaciones (25 %) o en el sector energético, que pasa de más de un 30 % a algo más del 20 %. Además, destaca el crecimiento en el sector transporte, que casi aumenta en 8 puntos hasta situarse en el 25 %, o la incorporación del sector TIC y Comunicaciones con un 18% de las incidencias gestionadas.

Albors señaló que, según su experiencia, con esa información general los delincuentes pueden preparar campañas dirigidas, como mensajes de correo electrónico o SMS contra los usuarios afectados, por ello la sociedad «debe tomar conciencia» y aprender a detectar esos ataques, añade Rossell.

Ataque y defensa

Ambos destacan la dificultad de hacer frente a todos los posibles ataques cibernéticos, «protegerse para evitarlos al cien por cien es imposible».

Las grandes empresas tienen una serie de protocolos que cumplir, unas normas europeas y estatales. «Son conscientes del riesgo respecto a la información que manejan» y trabajan para evitar este tipo de incidentes, dice el responsable de Esset.

Sin embargo, «la superficie de ataque, sobre todo de las grandes empresas es gigantesca», destaca Rossell y agrega que «los malos juegan con ventaja porque atacar es fácil y defender es muy difícil».

Un atacante sólo necesita tener éxito una vezJosep AlborsESET España

«Un atacante sólo necesita tener éxito una vez», pero lo importante es cómo se reacciona cuando sucede y si se han tomado medidas de mitigación, además de seguir evolucionando e invirtiendo en seguridad, indica Albors.

La industria del cribercrimen es enorme y Rossel señala como imagen que, si fuera un país, sería la tercera economía del mundo, sólo por detrás de Estados Unidos y China.