ÓSCAR DE LA CUEVA llegó como siempre el primero a trabajar. A las siete de la mañana del viernes 21 de abril de 2017, aparcó el Mercedes gris a la puerta de su empresa, Plásticos de La Mancha, un negocio dedicado al material de riego en Las Pedroñeras, Cuenca. Lo primero que hizo fue encender los cuatro ordenadores. No notó nada extraño.
Pero a las ocho de la mañana, cuando ya habían llegado el resto de empleados y los clientes se arremolinaban pidiendo tuberías y aspersores, los equipos empezaron a funcionar con lentitud.
Decidió llamar al técnico: “Vente pa’cá. Tengo la tienda llena de gente y no puedo hacer un dichoso albarán”. Fue entonces cuando la pantalla se puso en negro y apareció el mensaje que a hoy día el empresario manchego todavía recuerda palabra por palabra: “Su ordenador ha sido secuestrado. No intente ponerse en contacto con nadie”. Había sido víctima de un ramsonware, un tipo de virus que secuestra la información del sistema y pide a su dueño un rescate para devolvérsela. Cuando se puso en contacto con la empresa que les hacía copias de seguridad diarias, le anunciaron que todo lo que había en la nube también había sido encriptado. La policía no pudo ayudarle (“los malos siempre van tres o cuatro meses por delante de nosotros”) y le recomendó que no cediese al chantaje. Nadie le aseguraba que fuese a recuperar sus archivos.
“Pero decidí pagar porque me dejaban en la ruina”, dice hoy De la Cueva, de 47 años, sentado tras la mesa de su modesto despacho. En las paredes, pósteres de Los Simpson, Madonna y un recuerdo de las casas colgantes de Cuenca. Sobre la mesa, una foto de sus dos hijos, montones de papeles y uno de los ordenadores atacados. El virus secuestró las fichas de 3 mil 500 clientes y 5 mil 500 productos, además de toda la facturación.
El empresario no sabía cuánto costaban sus artículos ni quién le debía dinero. Y cada día la cifra del rescate subía. Tardó dos semanas en cambiar los mil euros que pagó en bitcoins (la criptomoneda preferida por los cibercriminales porque resulta difícil rastrearla). Fueron unos días de infierno que De la Cueva pasó sin comer ni dormir. Perdió cinco kilos. Diez minutos después de hacer el último ingreso le devolvieron sus archivos. Lo primero que hizo fue imprimirlo todo.
De la Cueva podría rebautizar su empresa como Papeles de La Mancha, su oficina está cubierta de facturas y albaranes. Ahora solo tiene Internet en un ordenador para mirar el correo. “Recuperé mi negocio y mi vida y me salí del dichoso Internet. Es un peligro”.
La Red parece seguir siendo una ciudad sin ley a la que ya tiene acceso la mitad de la población mundial. La ciberseguridad se ha convertido en un quebradero de cabeza para gobiernos y grandes empresas. Mientras, la mayoría de pymes y ciudadanos siguen pensando que este problema les toca de lejos. El gobierno español considera que las ciberamenazas son junto con el terrorismo yihadista los dos mayores peligros que desafían la seguridad del país.
Dentro de las ciberamenazas se encuentra el ciberespionaje y el cibercrimen, con casos como el que sufrió el empresario Óscar de la Cueva. Pero también el hacktivismo o el ciberterrorismo.
El pasado mes de septiembre, Joaquín Castellón Moreno, director operativo del Departamento de Seguridad Nacional, advertía en el Congreso que cualquier incidente, ya sea un ciberataque o un mal uso de la tecnología, podía originar una crisis y afectar a la economía, los servicios esenciales, la salud, el agua, la energía o el transporte. Castellón explicó que cuando se elaboró la Estrategia de Seguridad Nacional de 2013 se comprobó que, tras años de lucha antiterrorista, España contaba con “excelentes capacidades” en ese terreno, pero que en materia de ciberseguridad, como en la mayoría de países de nuestro entorno, solo se habían construido los cimientos.
Hoy día el edificio tiene tres pilares fundamentales: el Instituto Nacional de Ciberseguridad (Incibe), con sede en León, que enfoca su labor en ciudadanos, empresas e infraestructuras críticas; el Centro Criptológico Nacional (CCN), dentro del Centro Nacional de Inteligencia, focalizado en la Administración pública, y el Mando Conjunto de Ciberdefensa. Además, la Policía Nacional y la Guardia Civil cuentan con unidades centradas en el cibercrimen. Todos estos organismos coinciden en que los incidentes crecen día a día y aun así es imposible saber qué porcentaje de todo lo que realmente sucede está recogido en las estadísticas oficiales. Existe una cifra negra de hechos que no se denuncian o no se detectan.
El Incibe pasó de 18 mil casos en 2014 a más de 120 mil en 2017. Alberto Hernández, director del centro, matiza que una parte de ese aumento se debe a que cada vez son capaces de detectar más hechos y a que ciudadanos y empresas colaboran más.
Para Hernández hay un episodio que supuso un antes y un después en esa toma de conciencia: “Nosotros lo llamamos la crisis del Wannacry”.
El 12 de mayo del año pasado, el INCIBE llegó a su nivel de alerta más alto hasta la fecha, un 90%. Una cifra que se calcula según el número de incidentes y su gravedad, y en aquel momento varias infraestructuras críticas estaban siendo atacadas. Una de ellas, Telefónica. Una parte de sus empleados tuvo que apagar sus ordenadores y marcharse a casa porque un virulento ramsonware se extendía por el sistema. Wannacry adquirió escala mundial, 200.000 equipos de 150 países se vieron afectados. Uno de los casos más graves fue el del sistema sanitario británico. El virus aprovechaba una vulnerabilidad del sistema Windows para la que ya se había difundido un parche. Entonces, ¿por qué una empresa como Telefónica no había actualizado sus sistemas? “De nada sirve tener un servicio si no está disponible y puede dejar de estarlo si una actualización de seguridad falla”, explica Chema Alonso, conocido hacker y chief data officer (jefe de la estrategia de datos) de la compañía. Lleva puesto el gorro a rayas azules y marrones, convertido en seña de identidad. Su despacho en la sede madrileña de la empresa está lleno de cables y papeles. Sobre la mesa, su inseparable portátil cubierto de pegatinas. El hacker aclara que antes de una actualización se hacen test para comprobar que no va a haber problemas. Los ordenadores de la compañía que estaban en ese periodo de pruebas fueron los que resultaron infectados.
Los expertos coinciden en que Wannacry fue muy mediático, pero bastante chapucero. “Sospechamos incluso que se les escapó. Era como si estuviese sin acabar”, cuenta Alonso, que analizó con su equipo este malware. La teoría más extendida es que un grupo llamado Shadow Brokers robó el exploit (un fragmento de código que permite aprovechar una vulnerabilidad) a la NSA (la Agencia de Seguridad Nacional de EE UU). Y aquí reside la gravedad de este ataque. “Se hizo de dominio público una vulnerabilidad encontrada por un Estado”, explica Javier Candau, jefe del departamento de ciberseguridad del CCN. Los autores crearon Wannacry uniendo aquella vulnerabilidad a un ramsonware que secuestraba los archivos de los ordenadores infectados. Hoy día, el nombre que más se repite como posible autor es el de Corea del Norte. Se cree que el país asiático cuenta con un ejército de 6.000 hackers dedicado a robar dinero e información, según reveló The New York Times. Algunos de los hechos que se les suelen atribuir son el robo de 81 millones de dólares de un banco de Bangladés el pasado año y un ataque a Sony Pictures en 2014 en el que se robó una gran cantidad de información. La productora estaba a punto de estrenar La entrevista, una película en la que se parodiaba el régimen de Kim Jong-un.
“La atribución es siempre difícil porque se hace siguiendo los patrones de comportamiento del atacante o analizando el software, y esto es algo que se puede imitar”, explica Joel Brenner, que a lo largo de su carrera ha trabajado como jefe de contrainteligencia de EU e inspector general de la NSA.
Los cibercriminales saben que pueden llegar a ganar mucho dinero con poco riesgo. Las vulnerabilidades sobran. Una aplicación de móvil tiene de media 14, según un estudio de la firma de seguridad Trustwave. Y cada día hay más dispositivos conectados a la Red, lo que se conoce como el Internet de las cosas (IoT, en sus siglas en inglés). No existe ninguna regulación de la seguridad de estos aparatos y ya se han dado casos que han sacado provecho de ello. En octubre de 2016, un ataque en EU contra el proveedor de Internet Dyn interrumpió el funcionamiento de las webs de Twitter, Netflix y Amazon, entre otros. Para ello se utilizó una botnet, un grupo de dispositivos infectados (impresoras, cámaras o monitores de bebé) que saturaron los servidores de Dyn: es lo que se conoce como un ataque de denegación de servicio.
Texto y fotos: Agencias
