Carmen Romero, de RTVE 2, me contactó a principios del año pasado para participar en la serie documental Ciberdelitos, presentada por Esther Paniagua, creada junto al apoyo del Grupo de Delitos Telemáticos de la Guardia Civil, y de la Policía Nacional, que aborda diferentes casos de estos últimos meses, entrevistando tanto a las víctimas, como a las fuerzas del orden y el resto de profesionales que nos dedicamos a la protección digital.
En nuestro caso, CyberBrainers participó en uno de los programas dedicado al grupo cibercriminal detrás del ransomware Hive, que fue desmantelado a principios del año pasado por una operación coordinada entre la Policía Nacional, la Policía de Alemania, y el FBI norteamericano (ES).
En la grabación hablamos de múltiples temas, y como suele ocurrir en este tipo de colaboraciones, lo que al final se emitió en antena fue una ínfima parte.
En todo caso, dejo por aquí un extracto de la entrevista que me hizo Esther (ES) y todo lo comentado resumido por si a alguien le interesa:
Índice de contenido
- El grupo Hive atacó a empresas y organismos de todo el mundo. Este tipo de ciberdelincuente que usa ransomware ¿cómo selecciona a sus presas?
- Además, sufrir este tipo de ciberdelito ¿puede conllevar un segundo castigo como es la desconfianza que genera?
- ¿Cuándo un organismo o empresa soporta un ataque de estas características siempre hay una crisis reputacional?
- ¿Somos conscientes de nuestra identidad digital y a lo que nos exponemos?
- ¿El teletrabajo ha hecho crecer los ciberataques?
- Si sufres una crisis reputacional tras un ciberataque ¿qué tres consejos primordiales nos puedes dar?
- ¿Podemos prepararnos con anticipación a un ataque de estas características?
- Actualmente ¿cuales son los retos de futuro de la ciberseguridad y la reputación digital?
El grupo Hive atacó a empresas y organismos de todo el mundo. Este tipo de ciberdelincuente que usa ransomware ¿cómo selecciona a sus presas?
En particular, HIVE es un ransomware que ofrece como SAAS, es decir, que cualquiera puede «contratarlo» pagando una suscripción, como si se tratara de cualquier otra suite de ofimática como puede ser Office365, o una de productividad como Google Work, y usar esta herramienta para extorsionar a empresas y organizaciones.
Por tanto, hay que tener en cuenta que es el «cliente» final quien decide hacia qué organizaciones dirige sus ataques:
- Algunos optan por ir a volumen: Es decir, buscar masivamente potenciales brechas de seguridad en cualquier empresa, entrar, y luego ajustar la extorsión al tamaño de la misma.
- Otros optan por especializarse: Por ejemplo, tenemos grupos especializados en atacar organizaciones del sector sanitario o de la administración pública, u otras enfocadas más a empresas financieras.
Con Hive, sin embargo, no parece que haya una tipología de empresa u organización específica.
Que sepamos, habría alrededor de 1.500 empresas afectadas, y entre ellas, nos encontramos desde infraestructuras críticas, pasando por instalaciones gubernamentales, empresas de telecomunicaciones, fabricación, tecnología de la información y atención médica/salud.
Eso sí, debido a la sofisticación de este ransomware, es raro que acabe afectando a micropymes o pymes, estando más enfocado a empresas medianas o grandes, como he comentado.
Además, sufrir este tipo de ciberdelito ¿puede conllevar un segundo castigo como es la desconfianza que genera?
Por supuesto.
Es más, HIVE llegó a publicar un portal denominado HiveLeaks donde cualquiera podía consultar los datos filtrados de las empresas víctimas que se negaban a pagar el rescate.
Una estrategia que han usado otros ransomwares de este tipo precisamente para aumentar la presión contra las víctimas, ya que no solo pierden acceso a sus documentos, sino que encima se exponen a potenciales denuncias por divulgación de datos personales y de propiedad intelectual de proveedores y clientes.
Por último, y puesto que toda organización que haya sufrido una brecha de seguridad que potencialmente haya expuesto datos privados está obligada a informar públicamente de ello, sobra decir que esto puede generar una desconfianza de cara a clientes y usuarios, que mal gestionada acabe suponiendo una crisis reputacional.
¿Cuándo un organismo o empresa soporta un ataque de estas características siempre hay una crisis reputacional?
No siempre, y por ahí iba en mi anterior respuesta.
Hay que partir de la base de que la seguridad 100% efectiva no existe, y que, por tanto, cualquiera de nosotros (seamos un particular, seamos una organización) podemos ser víctimas de un ataque de este tipo en algún momento.
Ahora bien: Cuando el mal ya está hecho, el contar con profesionales que sepan asesorar al departamento de comunicación sobre cómo deben hacer llegar esta información a los clientes finales se vuelve crítico para el devenir de la imagen de marca.
De un ciberataque se puede llegar a salir más fuerte que antes, si la audiencia (clientes, proveedores, usuarios, pacientes…) entienden que se ha hecho todo lo posible para solventar el problema… o justo lo contrario: encontrarte con que la credibilidad de la marca está por los suelos, lo que habitualmente supone una pérdida de acuerdos, clientes, pacientes… y en definitiva, una bajada drástica de beneficios.
¿Somos conscientes de nuestra identidad digital y a lo que nos exponemos?
No.
Para nada.
Si lo fuéramos, el grueso de la sociedad tomaría muchísimas más medidas de seguridad. Y se pensaría antes si debería o no subir ese contenido a tal red social, o pinchar en el enlace de ese email.
Estamos mucho mejor que hace unos años, pero, mal que nos pese, los malos siempre van a estar varios pasos por delante, y los ciberataques de nuestros días son cada vez más efectivos y habituales.
¿El teletrabajo ha hecho crecer los ciberataques?
No te sabría decir si ha sido el teletrabajo, per sé, o simplemente el propio peso de la innovación tecnológica.
Lo que está claro es que cada año batimos records (para mal) en número de ciberataques, y esta industria cada vez «factura» más.
Obviamente, el que cada vez haya más trabajadores capaces de realizar sus labores desde cualquier lado ha supuesto un cambio de paradigma que fuerza al departamento de IT a tomar medidas de seguridad más laxas.
Cuando todo dependía de ese ordenador físico no conectado a Internet que había en la oficina, los riesgos eran locales. El servidor se podía quemar, o alguien podía entrar y robarlo, pero todo tenía que ocurrir físicamente.
Hoy en día la mayoría trabajamos en entornos cloud, por lo que el perímetro de exposición ha pasado del local al global. Ahora, desde cualquier lugar del mundo puede llegar alguien con intereses maliciosos y los suficientes recursos como para acceder a la infraestructura de una empresa, y robarles.
Descontando el hecho de que en un entorno multinacanal, como es el actual, puede que tu organización acabe salpicada en algún ciberataque no porque alguien haya querido atacarla en sí, sino porque usamos un software en particular usado por muchas otras organizaciones, y «alguien» ha conseguido comprometerlo, exponiendo a todos.
Es el ya clásico problema de la dependencia de terceros.
Tiene sus ventajas, por supuesto, pero a nivel de seguridad supone un verdadero quebradero de cabeza.
Si sufres una crisis reputacional tras un ciberataque ¿qué tres consejos primordiales nos puedes dar?
Muy fácil:
- Análisis: Tomar decisiones en caliente suele estar abocado al fracaso. Lo mejor en estos casos es ponerse en contacto con una consultora reputacional como CyberBrainers para evaluar las opciones y que sea esta, desde fuera, con la mente fría, quien planifique las acciones a realizar.
- Contención: Una vez se ha evaluado la situación, lo más habitual es que haya que tomar una serie de acciones para contener el riesgo. Ya sea emitiendo un comunicado que tranquilice a los proveedores/clientes, ya sea informando también al cliente interno (los trabajadores) de las acciones que se están realizando y los motivo, ya sea monitorizando los activos informacionales para evitar que no se produzca un efecto bola de nieve, y acabemos peor aún de lo que estamos.
- Retroalimentación: Debemos tener un sistema centralizado de cuantificación de acciones para evaluar su impacto, tanto positivo como negativo, y decidir acciones próximas. Es importante señalar que la mayoría de crisis reputacionales se resuelven de forma positiva si PREVIAMENTE ya se contaba con una buena presencia digital, y en el caso de organizaciones de mediano o gran tamaño, se habían establecido perfiles de autoridad que llegados a este punto, sirvan de barrera.
El problema con el que nos encontramos en CyberBrainers es que muchas organizaciones se dan cuenta de sus deficiencias cuando ya están en medio de la crisis reputacional, y en ese momento tenemos que apagar fuegos, por lo que siempre hay daños colaterales.
¿Podemos prepararnos con anticipación a un ataque de estas características?
Es que esa es justo la idea.
Como dicen en la industria médica, prevenir antes que curar.
Mira, el símil sanitario es muy buen ejemplo.
Estos últimos meses hemos estado oyendo milagros de un medicamento para la diabetes que, como efecto secundario, quita parte del apetito, y por tanto hace que los «pacientes» adelgacen.
La empresa detrás de este producto ha crecido en valoración hasta ser de las más valiosas de su país (representa ya el 0,1% del PIB de su país natal), por el simple hecho de que, de demostrarse que ,en efecto, es relativamente seguro usarlo, por primera vez en la historia tenemos una herramienta eficaz para combatir la obesidad.
Esa misma obesidad que está asociada con dos de las principales causas de muerte en países desarrollados: accidentes cardiovasculares y respiratorios.
Por tanto, actualmente se está valorando incluso en proponerlo para su uso masivo por la ciudadanía. Sin tanta obesidad, habría muchísimas menos muertes causadas por infartos y deficiencias respiratorias, ergo aumentaría la esperanza de vida global, además de causar mucho menor estrés al sistema sanitario.
Pues con la ciberseguridad, más de lo mismo.
Sale más rentable (económicamente hablando) prevenir que curar.
En este caso, por dos vías:
- El factor humano: Que es, en esencia, el principal vector de ataque. Nosotros realizamos sesiones y talleres de concienciación a los trabajadores y directivos en los que les explicamos los ataques más comunes, para que sepan identificarlos, y por tanto, no caigan en ellos. Descontando la importancia que tiene, como te decía, establecer una buena política de presencia digital, de manera que cuando ocurra la desgracia, la marca cuente con sistemas informacionales adecuados para comunicar la situación real, y minimizar el impacto reputacional.
- El factor técnico: Dotando al departamento de IT del presupuesto adecuado a la infraestructura que deben manejar, y valorando procesos de transformación digital que minimicen el perímetro de exposición de la organización. Por ejemplo, en CyberBrainers tenemos demostrado que con algo tan sencillo como migrar el servidor de correo a un servicio profesional como Google Work u Office 365, que ya aplica sistemas avanzados de inteligencia artificial, se reduce hasta en un 97% las posibilidades de que un trabajador acabe cayendo en una campaña de phishing.
Actualmente ¿cuales son los retos de futuro de la ciberseguridad y la reputación digital?
Hay varios, pero quizás el más importante de todos, que afecta, de hecho, en tres vertientes distintas, es el auge de los sistemas asistidos por Inteligencia artificial.
- Primero por los potenciales usos malintencionados que tengan esos datasets (ese universo de datos) que se están creando para entrenar a estas IAs el día de mañana.
- Segundo por el riesgo a que, con el uso de estos sistemas, los propios trabajadores expongan datos sensibles de la organización sin ser conscientes de ello.
- Y tercero por el uso que ya estamos viendo que están teniendo los chatbots conversacionales para la mejora de las campañas de fraude en Internet.
De todo esto, precisamente, hablaba en este artículo en el blog que publicamos en su día, con una colaboración en una revista del sector.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es el fundador de CyberBrainers, consultora especializada en blindaje reputacional, construcción de autoridad digital y asesoramiento a víctimas de fraude online, de EliminamosContenido, el servicio de desindexación y eliminación de contenido dañino en Internet, y del sello editorial Ediciones PY.
Speaker internacional, Experto en ayudar a referentes digitales, influencers y marcas personales a diversificar su presencia y construir reputaciones inquebrantables. Especialista en transformar la presencia online de referentes a través de estrategias de diversificación digital, posicionamiento SEO, apariciones en medios y blindaje preventivo ante crisis reputacionales.
Reconocido divulgador en Seguridad TIC, ganador de varios premios ESET, Bitácoras y Red Seguridad a la divulgación en Ciberseguridad, colaborador habitual en varios programas de televisión, radio y periódicos, y representante del emprendimiento español en Silicon Valley.
Autor de seis libros y host del videopodcast enCLAVE DIGITAL.
Actualmente asesora a grandes patrimonios y a víctimas de fraudes online, demostrando con hechos su filosofía de diversificación y gestión de riesgo.
