La pregunta que muchos nos hacemos a raíz de la publicación de información relativa a ciberataques, ciberespionaje y ciberguerra en medios de comunicación de todo tipo (no solo especializados) es: “¿Será la situación tan grave y compleja como lo describen algunos especialistas, o será una exageración con el objetivo de fomentar las ventas de todo tipo (medios, servicios...)?”.

Como siempre, conviene a nuestra independencia tener una opinión cimentada en hechos lo más comprobables posibles, y por ello es importante tener claro una serie de puntos:

La motivación de los ataques de hoy en día es mayoritariamente económica. Para muestra las declaraciones del histórico “gurú” del Hacking Kevin Mitnick “En mi época hackeábamos por diversión. Hoy por dinero”. Y es que se ha llegado al punto de que todo lo que tenemos en nuestros ordenadores, desde la dirección de correo hasta los datos sobre cuentas bancarias, desde el listado de empleados a los últimos planes de estrategia empresarial, son vendibles y tienen un precio en la economía underground. En muchos casos, “al peso”; en otros, la información se valora en cientos o miles de euros. También los servicios de los piratas se alquilan por campañas como las de marketing, al mejor postor.

El campo de batalla ha crecido, se ha diversificado y además está interconectado. Simplificando el entorno podemos dividir el escenario en tres niveles:

El particular, donde la motivación básica es el robo de información con el objetivo de una venta al por mayor o al detalle. Como en otros casos, como el de las tarjetas de crédito físicas, el que roba lo hace para revender. Hay una cadena con un grado importante de especialización en cada paso, para obtener el mayor fruto posible del expolio. Un segundo objetivo sería la utilización de los recursos particulares (PC y ancho de banda) para fines delictivos. Aquí entramos en la categoría de las redes de ordenadores zombis (botnet) que teledirigidas por un administrador ciberdelincuente, se utilizan para fines nada legítimos: ataques a sitios determinados, generación de Spam, Phihing. Hay redes, cuyos servicios se alquilan al mejor postor, que cuentan con millones de zombis teledirigidos.

El empresarial, donde los objetivos son el robo a escala mucho mayor de datos sensibles de ser utilizados con fines delictivos (datos de clientes en general); la extorsión o el espionaje industrial. Recientemente hemos conocido ataques a Google, y empresas clave del entorno de defensa de los Estados Unidos.

El gubernamental, donde los interés se cruzan y son más complejos, y donde según parece a tenor de las informaciones publicadas, se desarrolla la nueva “guerra fría” del ciberespacio. Obama lo tiene muy claro y una de las primeras medidas tomadas en el primer año de mandato fue un importante refuerzo, a todos los niveles, de los recursos de protección contra ataques cibernéticos. Hay casos documentados como la intrusión en el PC de Javier Solana, o el mas espectacular y conocido ataque sincronizado a las principales estructuras bancarias y gubernamentales padecido por Georgia).

Además, todos los niveles descritos están cruzados, ya que se utilizan ordenadores de particulares para atacar instituciones públicas y privadas. Se utiliza el ataque a instituciones privadas para obtener datos de particulares, y por último, se utiliza el ataque a empresas clave proveedoras de los gobiernos para obtener secretos de defensa.

Las infecciones mas peligrosas son las que no se sienten. Aquí se produce una tremenda analogía con las enfermedades humanas, donde el virus o el tumor da la cara cuando ya el daño es amplio. Se acabó la época de los virus que destrozaban el disco duro y mostraban pantallas con mensajes más o menos graciosos o reivindicativos, eso no genera dinero. Hoy en día esto solo ocurre cuando infectan el PC con un virus para vender inmediatamente el antídoto y la protección futura, que no deja de ser un troyano más peligroso aún. De hecho, los virus no representan mas allá de un 5% del malware total. Los que se llevan la palma son los troyanos y los Backdoor, que sigilosamente entran en nuestros sistemas, permanecen sin molestar (solo utilizan el procesador y el ancho de banda que no se está utilizando, modulando el consumo de los recursos en base a algoritmos muy eficientes y especializados) y roban toda la información que pueden o utilizan al anfitrión como “zombi” durante el mayor tiempo posible. Hoy en día este tipo de malware representa más del 70% del total.

El que recibe el ataque en muchos casos no lo comunica.Y eso en caso de que sea consciente de que esta siendo atacado, ya que la mayoría de los particulares que forma parte de una red de zombis (Botnet) o una parte importante de empresas que son atacadas, lo desconocen. En todos los casos, sobre todo instituciones públicas o privadas, la ropa sucia se lava dentro, y solo conocemos aquellos casos en los que el éxito o la gravedad del ataque eleva la información a nivel público.Por lo general nadie quiere que se conozcan sus debilidades, sobre todo cuando han puesto en riesgo la información de sus clientes.

Por todo lo expuesto, parece bastante posible que lo publicado recientemente no solo no se trate de una exageración, sino que más bien represente la punta del Iceberg de lo que realmente ocurre. Existen estimaciones bastante sólidas publicadas en informes serios que alertan de que el negocio del CiberCrimen tiene unos beneficios que superan a los del tráfico de drogas.

La batalla es constante, y por lo que reconocen los expertos, la iniciativa la llevan los malos. Como en otros casos de la “vida real” es mucho más barato atacar que defender, sobre todo cuando el coste de las armas de ataque es ínfimo en comparación con el botín potencial.

Parece por tanto razonable, adoptar las medidas que en cada caso sean aplicables y conocidas: al entorno particular, no solo antivirus de pago o gratuito, también actualizaciones de Software y mucho cuidado con las descargas y correos con adjuntos. Al entorno empresarial, dotarse no solo de las medidas hardware y software, sino del conocimiento y la experiencia a través de un centro de operaciones de seguridad (SOC) propio o contratado.