En solo cuatro meses, en Galicia se detectaron 103.000 activos amenazados

Gladys Vázquez
Periodista de La Voz de Galicia. Convencida de que siempre hay más que contar

Zendal fue la primera en caer en las redes de la ciberdelincuencia. La farmacéutica gallega vio cómo volaban 9,7 millones de euros de sus cuentas hace justo un mes. ¿Cómo? A través del fraude del CEO. Los autores se hicieron pasar por la auditora KPMG. Suplantaron un correo electrónico de confianza y un trabajador de la firma cayó en la trampa: hizo una veintena de transferencias en cuatro días. Un procedimiento nada nuevo para los expertos en seguridad. «Este fraude lleva toda la vida», dice el vigués Pedro Cabrera. En esta estafa la víctima confía en que el email y su destinatario son reales y ejecuta la petición. «Las empresas tienen que tener implantado un proceso. Cada transferencia que se haga a partir de cierta cantidad debe requerir la aprobación de una serie de personas y eso nada tiene que ver con un correo», explica uno de los profesionales en seguridad más conocidos del país. Cabrera, fundador de Ethon Shield, cree que la generalización del teletrabajo ha creado el perfecto caldo de cultivo. Solo perder el contacto directo entre compañeros ayuda a que los atacantes entren por la puerta grande de las redes corporativas. «En muchos casos, las empresas no llegan a hacer las transferencias, pero se quedan asustados porque esa gente ya ha entrado en sus correos y han tenido acceso, por ejemplo, a todo el email». 

«Cada transferencia debería tener la aprobación de una serie de personas, y eso no es un correo»

Zendal no ha sido la única víctima, otra compañía de considerable tamaño como Arenal Perfumerías sufría una estafa electrónica de 180.000 euros. «No me sorprende. Los engaños pueden tener una sofisticación alta y, en ocasiones, son el resultado de un estudio profundo del comportamiento y modus operandi interno de la empresa», explica Pilar Vila, analista forense y perito judicial informático responsable de Forensic&Security.

El fraude del CEO es solo uno más del catálogo de ataques y estafas que maneja el cibercrimen. «Detectan cuáles son los cargos y qué posición tienen en la organización. Después observan cuáles son sus correos, dónde tienen los servidores y si están actualizados. Si son vulnerables, por ahí pueden entrar. Otra opción: ataques de ingeniería social a través de un phishing, la simulación de un correo que parece legítimo. Una vez que lo consiguen, están dentro», dice el letrado Luis Jurado, que ha visto como estos casos se multiplican en su despacho, Perseus&RC, especializado en seguridad. «En casos tan grandes, con tal volumen, a veces hay un compinche. Y hay otro aspecto: el propio banco tendría que hacer una llamada cuando ve esos movimientos de importes tan importantes. Normalmente en esas cantidades, las transferencias fuera de lo normal quedan bloqueadas o te dicen que te comuniques con la oficina para hacer la comprobación. A partir de ciertos importes tiene que haber un proceso en el que la autentificación o firma de la operación sea mancomunada, que tengan que firmarla más de una persona», comenta Jurado. 

 «Pueden detectar cuáles son los cargos de una firma y qué posición tienen en la organización»

Los datos del Instituto Nacional de Ciberseguridad, Incibe, dicen que solo entre mayo y agosto de este año, 103.428 activos en Galicia han estado en riesgo, lo que convierte a la comunidad en la quinta más vulnerable del país. «El phishing y el fraude del CEO son habituales. Con respecto el ransomware —la extorsión a través un programa que infecta un equipo informático— también existe un cambio. Como hay empresas que se recuperan rápido, se ha creado una evolución que consiste en la extorsión por exflitración de datos. Si realmente se han robado, se usan para seguir exigiendo dinero», comenta Vila.

Uno de los aspectos que más llama la atención de las últimas víctimas en Galicia, Arenal y Zendal, es que no se trata de pequeñas compañías. «Da igual el tamaño de la empresa. Esto pasa cada semana. Estoy auditando firmas grandes y son un desastre. Lo que importa es qué nivel tienen de seguridad», comenta Simón Roses, fundador de Vulnex. Y es que gran empresa y más recursos no significa conciencia. «La mayoría de clientes te llama porque ya les ha pasado algo. Y eso es más caro que prevenir».

«La mayoría de los clientes te llaman cuando ya ha pasado algo. Y eso es más caro que prevenir»

Si ya se ha desencadenado el desastre, lo importante es la rapidez. «Hay que poner la denuncia cuanto antes, sobre todo en estafas al CEO, para intentar revertir las transferencias», apunta Pilar Vila que recomienda además disponer siempre de un análisis forense. «Podemos saber por dónde han entrado, con qué técnicas, los movimientos o cómo se evadieron las defensas». Y es que estos expertos viven desde dentro situaciones que muchas personas jamás imaginarían. «Los casos de pequeñas compañías no suelen salir a la luz. Si sumamos todos los fraudes al CEO de pequeñas empresas a las que no les han robado millones, pero sí decenas o cientos de miles de euros, la cifra acumulada es enorme», comenta Cabrera. «Hemos llevado análisis de estafas desde 20.000 euros a varios millones. Todas las empresas son objetivo de un ataque avanzado. Entre los ciberdelincuentes podemos encontrar desde personas con cierto conocimiento que empiezan a trabajar en una estafa sencilla, pasando por los insiders, los propios empleados», comenta Pilar Vila. «Las personas somos el eslabón más débil en la cadena de la ciberseguridad, siempre. Si no existe concienciación, formación en ciberseguridad básica y ni controles obligatorios internos a nivel de procesos, tenemos un riesgo alto de que en algún momento podamos tener algún problema», remarca.

Pilar Vila, Simón Roses, Luis Jurado y Pedro Cabrera son algunos de los especialistas en seguridad más reputados del país
Pilar Vila, Simón Roses, Luis Jurado y Pedro Cabrera son algunos de los especialistas en seguridad más reputados del país

«Siempre recomendamos que hay que actuar antes o hacer auditorías de forma continua, o por lo menos una vez al año», explica Simón Roses como principal método para repeler estos ataques. «La mayoría de organizaciones no tienen gente especialista en seguridad. Tienen su departamento de sistemas al que han añadido seguridad. Y la gente que se dedica a esto tiene que estar centrada al cien por cien. Cuanto más grande es la organización, más superficie de ataque hay, es más complejo su entorno», remarca.

¿Y qué sucede en el caso de robos de dinero? ¿Se llega a recuperar? «Depende del supuesto», afirma el letrado Luis Jurado, que añade: «Se puede reclamar al banco o al método de pago. El roto y la capacidad de recuperar las cantidades va a tener que ver con las medidas que tengan establecidas. Si no se tienen, pues el dinero va a salir hacia otra cuenta y la capacidad de recuperarlo va a ser mínima. Es dinero que a su vez puede ir a parar a actividades criminales», sentencia.

La empresas no siempre proceden de forma adecuada y pueden sufrir grandes rotos en sus cuentas, pero en este tipo de ataques siempre está la incógnita de dónde proceden en realidad. ¿Estamos ante grandes redes de criminales o ante personas con conocimientos básicos? «Las nuevas técnicas para disuadir las ciberdefensas y la ocultación del malware hacen que las amenazas permanezcan en las redes corporativas durante períodos de tiempo largos. Esto genera ciberamenazas más sofisticadas y dinámicas, además de una mayor cantidad de ataques. Casi cualquiera puede lanzar un ataque avanzado gracias a la democratización de la tecnología, el software que se vende en el mercado negro y las herramientas de código abierto», explica Pilar Vila.