La ciberdelincuencia se está acelerando a un ritmo alarmante, y se cree que en 2024 se habrán perdido 10 billones de dólares en la economía mundial debido a hackers, ladrones de datos, phishers y otros «malos actores».
Los incidentes son cada vez más frecuentes y de mayor envergadura, y la aparición de nuevas y más potentes formas de inteligencia artificial (IA) no hará sino empeorar las cosas. El alcance de los más grandes es asombroso. Cuando se ataca a grandes empresas y se consigue saquearlas, se convierten en noticia mundial y afectan a millones de personas.
Pero aunque los medios de comunicación se centran en estos incidentes extremos, lo cierto es que los particulares y las empresas más pequeñas son igual de vulnerables. A medida que nuestra vida y nuestro trabajo están más relacionados con la tecnología, los atacantes observan con avidez el creciente número de puntos de acceso que ésta les proporciona a nuestros datos, nuestro dinero o incluso nuestras identidades.
Los mayores robos, que acaparan titulares, implican cifras desorbitadas difíciles de comprender: se roban millones de registros y dólares. Pero aún así ofrecen importantes lecciones sobre ciberseguridad y los problemas culturales que conlleva, de las que personas u organizaciones de cualquier tamaño pueden aprender.
He aquí las que, en mi opinión, son las lecciones más importantes que pueden extraerse de algunos de los incidentes más graves y devastadores.
La filtración de datos de Equifax
En 2017, unos piratas informáticos aprovecharon las vulnerabilidades del software de red para robar datos confidenciales de millones de clientes de Estados Unidos y de todo el mundo. Esto incluyó números de seguridad social, fechas de nacimiento y direcciones, todos considerados información sensible de identificación personal que se puede utilizar para rastrear a las personas o tomar prestada su identidad para cometer más delitos. Sólo en Estados Unidos hubo 150 millones de víctimas. Las multas y los acuerdos judiciales pagados por la empresa ascienden a cientos de millones de dólares, con muchos procedimientos aún en curso.
¿Qué podemos aprender?
La lección más clara que podemos extraer del mayor robo de datos del mundo es la importancia de mantener actualizado el software e instalar siempre las últimas actualizaciones de seguridad. La falta de actualización de un elemento del software de red Apache Struts se identificó como un punto clave del fallo.
La epidemia de ransomware WannaCry
Se cree que el malware ransomware, denominado WannaCry, se ha propagado a más de 200.000 ordenadores en 150 países en 2017. El ransomware funciona cifrando datos y luego extorsionando a los propietarios para que los devuelvan de forma segura, normalmente con amenazas de que se eliminarán irrecuperablemente si no se paga el dinero. WannaCry fue especialmente devastador porque se dirigió a una versión antigua pero aún muy utilizada del sistema operativo Microsoft Windows, lo que le permitió propagarse a una velocidad sin precedentes.
¿Qué podemos aprender?
El ransomware suele infectar a las organizaciones a través del phishing y otros métodos de ingeniería social que pretenden explotar el comportamiento humano, a menudo el punto débil de cualquier sistema de seguridad. Entender cómo reconocer y reaccionar ante los intentos de phishing, así como crear una cultura de concienciación sobre ciberseguridad en toda la plantilla, es la primera línea de defensa contra estos ataques.
El hackeo del exchange de criptomonedas Bitfinex
Un ataque a la que entonces era una de las principales bolsas de bitcoin y criptomonedas, Bitfinex, vio cómo los hackers se hacían con 119.756 bitcoins, valorados en 72 millones de dólares en aquel momento (2016) y cerca de 1.000 millones en el momento de escribir estas líneas. Parte de ese dinero se recuperó cuando dos personas fueron detenidas y condenadas por blanqueo de dinero procedente del robo en 2023. El hecho de que los ladrones llevaran a cabo el robo irrumpiendo en monederos de intercambio que antes se consideraban relativamente seguros provocó un desplome del 20% en el valor de bitcoin.
¿Qué podemos aprender?
Una lección importante es que cualquiera que tenga bitcoin o criptodivisas como inversión debe tener mucho cuidado con dónde las guarda. Almacenar tus monedas o activos digitales fuera de línea en una cartera «fría» se considera generalmente la opción más segura, ya que cuando las monedas o tokens están en una plataforma de intercambio, no están en su posesión y son vulnerables a cualquier fallo de seguridad que esté presente en su lugar de custodia.
La estafa deepfake del CFO de 25 millones de dólares
En un sofisticado ataque realizado con IA en 2023, se utilizaron vídeos falsos de compañeros y ejecutivos de las oficinas de Hong Kong de una multinacional para engañar a un empleado y conseguir que transfiriera millones a las cuentas bancarias de los estafadores. Los deepfakes, imitaciones de una persona real generadas por IA y creadas para engañar, se utilizan en un número cada vez mayor de estafas, pero se cree que este es el atraco más exitoso en el que se han utilizado. El trabajador que realizó la transacción se enteró más tarde de que había sido el único participante auténtico en una videollamada en la que se dio la instrucción de transferir los fondos. Todos los demás participantes, incluido el director financiero de la empresa, eran falsificaciones creadas por los delincuentes.
¿Qué podemos aprender?
Las estafas de deepfake se convertirán en un problema cada vez mayor a medida que la tecnología se vuelva cada vez más indistinguible de la vida real. Disponer de mecanismos para comprobar y verificar las instrucciones y desarrollar una comprensión de cómo y por qué funcionan las estafas deepfake son habilidades de supervivencia esenciales de la década de 2020 para empresas y particulares.
El ataque del malware NotPetya
Las empresas ucranianas afectadas por una oleada de ciberataques pensaron inicialmente que se enfrentaban a un ransomware similar a WannaCry. En realidad, NotPetya era una trituradora de archivos altamente destructiva que solo pretendía destruir datos, mientras enmascaraba su verdadero propósito. Empresas y organizaciones de todo el mundo acabaron sufriendo daños valorados en unos 10.000 millones de dólares gracias al devastador virus, que obligó a cerrar puertos y aeropuertos e interrumpió muchas operaciones gubernamentales. Muchos grupos de investigación de seguridad creen ahora que NotPetya fue un ataque patrocinado por un estado con origen en Rusia.
¿Qué podemos aprender?
No todos los ciberataques consisten en robar dinero o datos. Los ataques patrocinados por Estados están creciendo y se dirigen cada vez más a las empresas, así como a la infraestructura. A menudo, su único objetivo es causar el máximo caos y trastornos.
El camino por recorrer
Aunque todo el mundo espera no ser blanco de la ciberdelincuencia, las probabilidades no son buenas. Según un informe reciente, el 87% de las empresas se enfrentaron a esta amenaza el año anterior.
Las lecciones aprendidas de los incidentes que aquí se tratan pueden constituir el esqueleto de una defensa. Mantener el software actualizado, almacenar los datos confidenciales y las criptomonedas de forma segura, fomentar una cultura de ciberconciencia e implantar sistemas de verificación fiables son piezas clave del rompecabezas.
Tanto los particulares como las instituciones deben aprender de estos «peores escenarios» para reforzar su resistencia frente a la naturaleza cambiante del panorama de las ciberamenazas.