Quiénes son y por qué ciberatacan: así es el campo de batalla virtual que apunta a banca y aerolíneas

En un mundo conectado y altamente dependiente de la tecnología, no es de extrañar que los ciberataques se hayan convertido en una de las principales preocupaciones de las corporaciones y las administraciones públicas. Y es que aunque las amenazas sean, en principio, virtuales, los efectos que dejan son muy reales. Robos de datos, extorsiones en las que se pide dinero a cambio de recuperar la información o daños que dejan inoperativa la capacidad de funcionar de una compañía son las formas más habituales que toman estos ataques. En 2023, último año del que hay datos oficiales y completos del ejercicio, el informe de cibercriminalidad del Ministerio del Interior detallaba que se detectaron 472.125 ciberdelitos solo en España, más del doble que en 2019 y un 26% más que en 2022. Aunque a priori cualquier empresa o particular están expuestos, ni todos los atacantes ni todas las víctimas son iguales.

“Hay dos grandes grupos atacantes”, comienza explicando Javier Castro, director y líder del área de ciberseguridad en Stratesys. “Hay quienes buscan una recompensa económica porque este es un negocio muy lucrativo. Para este tipo de grupos, cualquier sector es susceptible de ser atacado. Sin embargo, hay otro tipo de ataques que tienen una motivación política o geopolítica detrás. Lo que pretenden esos grupos es generar un impacto en la sociedad a base de atacar sectores estratégicos”, describe. Lo más común son los primeros, pero en cuanto a la extensión de los daños, los segundos son especialmente peligrosos. En lo referente a los diferentes tipos de víctimas, hay algunas más atractivas que otras.

Pocos sectores pueden ser más estratégicos que la banca y, además, pocos pueden ser un objetivo más suculento para un grupo de ciberatacantes que busque el lucro o la desestabilización. En un informe del pasado mes de abril, el Fondo Monetario Internacional (FMI) advertía de que el riesgo de un ataque cibernético que provoque “pérdidas extremas” en el sector bancario está aumentando. Por pérdidas extremas, el FMI entendía un impacto de, al menos, 2.500 millones de dólares en la víctima. “Aunque los ciberincidentes no han sido hasta ahora sistémicos, varios ataques dirigidos a grandes instituciones financieras podrían ser una amenaza para la macroestabilidad financiera debido a la pérdida de confianza, la disrupción de servicios críticos y por la interconectividad de las entidades”, advertía el FMI.

Enrique Galván, consejero delegado de Qaracter, una consultora tecnológica española especializada en el sector financiero y asegurador, reflexiona sobre esta delicada cuestión. “La banca tiene los datos de todos y, además, tiene las pautas de consumo de la población y el problema es que los malos son cada vez más buenos haciendo cosas malas”, afirma. “Imagínate que entran y consiguen cambiar durante unas horas el orden que asocia a los clientes con el dinero que tienen en sus cuentas. Sería el caos. ¿Pasaría algo? No a efectos técnicos, porque los sistemas son resilientes y tienen copias y copias de seguridad… Pero el daño reputacional para esa entidad sería destructivo. La gente sacaría el dinero de sus cuentas porque no se fiaría. Aunque sea un daño temporal reversible desde el punto de vista técnico… Sus consecuencias podrían ser catastróficas”, analiza.

Más allá de los bancos, empresas de transporte, centrales energéticas, extracción de petróleo, medios de comunicación, administraciones públicas... es la lista de ejemplos que mencionan desde Stratesys como objetivos más deseados para el tipo de cibercrimen más sofisticado. Una lista que coincide con la que apuntan desde Cipher, la división de ciberseguridad de Prosegur, pero que, además, es completada por sus expertos.

Según las conclusiones del grupo de inteligencia X63, un equipo especializado en detección y caza de ciberatacantes de élite que forma parte de Cipher, las aerolíneas y el sector sanitario han sido blancos recurrentes de los ciberataques con objetivos estratégicos. Las cifras oficiales respaldan su visión. En 2023, la Agencia de la Unión Europea para la Ciberseguridad (Enisa) estimaba que un 53% de todos los ataques que no estuvieron dirigidos a individuos tuvieron por objetivo al sector sanitario, la mayor parte a hospitales. El tipo de incidente más común fue el ransomware. Ante lo crítico del servicio y lo sensible de los datos, los ciberdelincuentes aprovechaban esta técnica de secuestro de datos para extorsionar a los centros. En el caso de las aerolíneas, la mayoría de incidentes tuvieron que ver con el espionaje.

Santiago Anaya, experto en ciberseguridad de Cipher en la unidad X63, cuenta cómo para cumplir con éxito su misión de proteger es fundamental conocer a sus rivales. Anaya comparte unas píldoras sobre cómo son las principales amenazas a las que se enfrenta a día de hoy.

“El universo de los cibercriminales está fragmentado en bandos. Hay muchos grupos con relación entre ellos y, sobre todo, hay mucho ego, lo que hace que muchos grupos terminen por disolverse. Algunos de los grupos son extremadamente organizados. Antes, todos los grupos hacían un poco de todo, pero ahora están especializados y hay gente, por ejemplo, solo dedicada a buscar accesos para luego venderlos y que el que lo compre haga lo que quiera con ello. Tienen sus jornadas laborales, sus libranzas, sus salarios. Estamos hablando de que podrían ser una empresa perfectamente”, describe Anaya.

Dentro de los actores privados, un grupo llamado Lockbit es uno de los nombres más repetidos. “Por su tamaño y persistencia, son una de las mayores amenazas. Además de llevar años operando y de contar con un equipo veterano, su capacidad para innovar constante tanto en el aspecto técnico como en el logístico hacen que sean uno de los grupos más maduros a día de hoy”, describe la unidad X63 en uno de sus documentos. Entre las víctimas del ransomware Lockbit, aparecen Bankok Airways, Acerinox, TDT Aero o Boeing.

Pero por si la iniciativa privada no fuera suficiente, a estas empresas del cibercrimen hay que añadirle aquellas organizaciones auspiciadas por gobiernos. Ambos expertos consultados para este artículo hablan de esta vertiente. “Hay otro tipo de ataques que tienen una motivación política detrás”, dice Javier Castro. “Muchas veces son perpetrados por grupos respaldados por Rusia, Irán, Corea del Norte o China principalmente. Los ciberataques se usan incluso como armas en un conflicto, tal y como se está viendo en la lucha entre Ucrania y Rusia. No solo Rusia ataca a Ucrania en este ámbito, sino a los miembros de la OTAN con el objetivo de desestabilizar sus sociedades y hacer flaquear los apoyos a Kiev”, advierte.

Por su parte, Anaya informa de qué tipo de operaciones llevan a cabo los grupos gubernamentales. “No solamente una guerra es mandar a gente con rifles a matar a otra gente con rifles. Empieza con la parte cibernética. Se buscan accesos vulnerables, atacar infraestructuras críticas, propagar desinformación para confundir y desmoralizar. Los iraníes tienen un presupuesto para esto”. Tanto los ciberatacantes sofisticados privados como los públicos comparten ese elemento de buena organización que les hace diferenciales. Son persistentes, ya que no es fácil hacer una brecha y muchas veces requiere numerosos intentos. También ambos se fijan objetivos a medio y largo plazo e incorporan innovaciones como el uso de inteligencia artificial.

Para defenderse, las empresas recurren a alternativas como la doble autenticación, el establecimiento de perímetros y de privilegios ajustados a cada función, el método conocido como “cero confianza” que consiste en no dar por sentado que un acceso es legítimo de por sí. Se emplean redundancias por si los sistemas fallan, se hacen copias de seguridad que se almacenan en diferentes formatos y sitios y los expertos de ciberseguridad se afanan en conocer a sus contrincantes y las técnicas que usan para sus ciberataques con el fin de saber por dónde pueden intentar entrar en un futuro. Con todo, Anaya asume que siempre los defensores van a ir un paso por detrás de los atacantes.

“Cuando tienes tiempo para algo concreto y usas esa especialización que emplean, vas a ir mucho más rápido que alguien que no lo tenga. Cuando hablas de ciberseguridad tenemos que proteger tantas posibilidades que a veces cuesta, pero gracias a este ejercicio de pensar cómo ellos, lo tenemos algo más fácil”, concluye.