La industria de la ciberseguridad coge músculo tras la oleada global de ataques informáticos

La seguridad en la Red ha llegado para quedarse. El ataque sin precedentes, mediante la fórmula del ransonware –o virus que cifran la información de los ordenadores a cambio de un rescate, generalmente, a través de la moneda virtual bitcoin- ha sido el detonante de una clara tendencia a la preservación de la seguridad informática. Con total certeza, por la dimensión global de esta maniobra, casi sincronizada, de hackers de todo el mundo, en la que no han faltado acusaciones directas a la NSA.

Por parte, por ejemplo, de Edward Snowden, antiguo contratista de la propia Agencia Nacional de Seguridad y de la CIA y ahora protegido político de Vladimir Putin, que filtró en 2013 miles de documentos secretos sobre el ciber-espionaje masivo de Washington a otras naciones, -sobre todo, aliadas europeas-, y a la que responsabiliza, sin tapujos, de haber iniciado las hostilidades en la Red. Aunque tampoco faltan voces que señalan al emporio Microsoft por su escasa capacidad para prevenir, mediante las actualizaciones periódicas de las ofertas de programas a sus clientes, las infecciones por ransonware. A pesar de su celeridad demostrada en cuanto a la colaboración con autoridades y empresas en la interrupción y subsanación de los desperfectos provocados por los ataques sobre sus programas, refugio de la mayor parte de las infecciones de este virus. Esencialmente, en equipos con Windows XP y sistemas con servidores de 2003.

Pero las carencias en ciberseguridad no son sólo flor de un fin de semana de contagio online. Es un riesgo sistémico declarado por empresas, bancos e instituciones públicas como hospitales y centros de investigación, que reclaman a los Estados acciones globales concertadas y urgentes, capaces de frenar las crecientes fugas de secretos industriales, robos de datos y asaltos que se saldan con altercados en el funcionamiento, por ejemplo, de infraestructuras estratégicas como aeropuertos, viaductos o líneas férreas, o de centrales energéticas esenciales. O que amenazan con colapsar mercados bursátiles. Porque nadie descarta que haya nuevos episodios de piratería cibernética.

El propio rastro de vulnerabilidad del virus deja patente la gravedad de este grito en el cielo. La Deutsche Bahn, empresa ferroviaria alemana, admitió que sus trabajadores operaron bajo altas presiones para restablecer los servicios informáticos y electrónicos de sus paneles de salidas y llegadas de trenes en casi todas las estaciones del país. Factorías Renault, en Francia, tuvieron que interrumpir sus cadenas productivas y el 90% de sus delegaciones exteriores se vieron en la obligación de resetear sus programas y equipos. Mientras, una segunda versión del malware en Emiratos Árabes Unidos afectó a más de 10.000 ordenadores, según Comae Technologies. Este virus, que utilizó una herramienta tecnológica supuestamente robada a la NSA americana -uno de los motivos que aduce Snowden para acusarla-, también contaminó el servicio de Salud del Reino Unido, el ministerio del Interior ruso, agencias estatales chinas o gigantes corporativos del tamaño de FedEx, Nissan, Hitachi o, en España, Telefónica.

‘Juego de tronos’ al más alto nivel

Todo ello ha elevado el grado de amenaza. En la práctica totalidad de las latitudes del planeta. En medio de un contexto político de especial gravedad, en el que el presidente estadounidense Donald Trump tendrá que hacer frente a una controvertida y dura investigación por, entre otros asuntos espinosos de su conexión con la Rusia de Putin, revelar a Moscú información sensible y secreta trasladada al FBI por sus colegas israelíes. Una acusación nada baladí, aunque tampoco exclusiva de su mandato. Porque a Barack Obama le explotó en las manos las quejas europeas, en especial de Alemania, por espionaje, con la inestimable ayuda de grandes corporaciones de EEUU como Google o Facebook, que se saltaron las más elementales reglas sobre privacidad personal. Al tiempo que invocaba la primera llamada a la Justicia Universal en esta materia, con la acusación a China de espionaje económico y quebranto de 31 leyes federales, actuaciones por las que solicitó hasta 15 años de prisión, a ciudadanos chinos, con nombres y apellidos, a los que colgó el cartel de ‘Buscados por el FBI’. Todos, oficiales del Ejército chino.

Sin embargo, no era la primera vez que China era señalada como espía comercial. Ni siquiera en suelo norteamericano. En 2013, Mandiant, firma de seguridad informática con sede en Virginia, identificó a un grupo especializado de militares de este país (al que dio el nombre de Unidad 61398) como fuente de más de 140 ataques a empresas americanas desde 2006. Del mismo modo que la mano invisible del gigante asiático surgió en el robo de diseños de ingeniería de cuatro centrales nucleares que la multinacional Westinghouse -ahora en quiebra- construye desde hace años en suelo chino, durante las negociaciones que sus directivos mantuvieron con sus colegas de la compañía estatal de electricidad. Mediante el acceso a los correos electrónicos, el régimen de Pekín, que ha liderado las fusiones con capital foráneo en EEUU en 2016, recabó datos de SolarWorld, US Steel, Alcoa o ATI, según la CIA, que apunta a joint-venture bilaterales como origen del espionaje industrial.

La dimensión del ciber-crimen

Sea como fuere, el ciberespionaje, en sus múltiples variantes -entre los que se halla el ciberataque, su versión más peligrosa-, tiene razones para justificar su perniciosidad. Más de la mitad de los mercados de valores (el 53%) ha hecho frente, desde 2012, a inmersiones informáticas enemigas, según una investigación conjunta de la World Federation of Exchanges (WFE), la patronal global del comercio, y la Organización Internacional de Comisiones de Valores (Iosco), en el que se reclama acciones legales concertadas por la comunidad mundial para frenar este tipo de criminalidad.

La fórmula más habitual de acceso de los hackers es a través de virus informáticos (malware, término compuesto por las acepciones en inglés malicius y software). O mediante ataques de denegación de servicio (Denial of Service). Dos modalidades con alta capacidad destructiva y con poco margen de respuesta desde los centros operativos de entidades financieras y empresas. Pese a que el 93% de las empresas comerciales y financieras asociadas a ambas instituciones reconoce que la lucha contra el cibercrimen ya forma parte de sus estrategias corporativas y de que el 90% de ellas admita haber iniciado planes de contingencia internos frente a esta amenaza. Desde septiembre de 2013, entidades financieras como JP Morgan, Bank of America, Citigroup, Wells Fargo, US Bancorp, PNC, Capital One, Fifth Third Bank, BB&T y HSBC, han tenido que repeler ataques de hackers, precisan desde la NSA.

Ya lo decía, de forma elocuente, Leon Panetta, ex secretario de Defensa de EEUU, al justificar su riesgo real: “Miles de virus indiscriminados golpean a diario al sector privado, a Sillicon Valley, instituciones civiles, al Departamento de Defensa o a las agencias de inteligencia”, afirmaba hace algunos años, antes de sentenciar que “acuden allá donde la tecnología puede ocasionar daño a la seguridad nacional, a los centros energéticos, al sistema financiero o a la estructura del Gobierno, con el objetivo de paralizar el país”.

Datos para la preocupación

El diagnóstico de Panetta adquiere carta de naturaleza con datos variados. El 74% de las firmas de servicios financieros revela que el riesgo de ciberataque es alto o muy alto, según un sondeo de Marsh and Chubb. Algo que se agudiza con las crisis. Y con los avances tecnológicos. La era del Data Analytics, del Internet de las Cosas (IoT) y de los valores y negocios intangibles en los mercados globales, ha generado la certeza de que “el 100% de ciberseguridad es una ilusión”, tal y como admite Rohini Tendulkar, autor del estudio del WFE-Iosco. Pese a que otros informes, como los de la multinacional de seguridad informática McAfee, cifren el impacto del cibercrimen sobre la economía de EEUU en más de 100.000 millones de dólares al año, cantidad a la que habría que triplicar para sumarle el coste al resto del PIB global. Que Alemania tenga que cubrir, cada año, con 24.000 millones de dólares, las pérdidas por los robos de secretos de propiedad intelectual. O que la Reserva Federal destine a más de 100 empleados altamente cualificados a garantizar, con herramientas informáticas de última generación, el adecuado manejo de los más de 2,8 billlones de dólares de transferencias monetarias que la red telemática de la Fed realiza a diario. En especial, para vigilar troyanos, porque de la salud de su sistema online depende la solvencia prestamista de los casi 3.000 bancos comerciales que operan en el sistema financiero de EEUU.

Algunos estudios cifran las pérdidas globales por virus maliciosos en 350.000 millones de euros en 2016, y el coste conjunto de la criminalidad digital y la apropiación de propiedad intelectual en 445.000 millones de dólares

Future Trends Forum, think-tank de la Fundación de la Innovación de Bankinter, corrobora que las pérdidas globales por virus maliciosos superaron los 350.000 millones de euros en 2016, y que la industria de seguridad informática mundial, que maneja entre 60.000 y 70.000 millones de euros en la actualidad (80.000, según McAfee), podría triplicar su negocio global en 2020, hasta superar los 200.000 millones. No por casualidad, predicciones sobre IoT creen que habrá más de 200.000 millones de aparatos conectados entre sí para esa fecha. Desde automóviles, hasta aeroplanos, casas o ciudades usarán software compatible.

En un mundo con tecnología más integrada, pero igual de vulnerable y más susceptible de ser hackeada. Estudios sobre IoT afirman que el 70% de los dispositivos no encriptan sus comunicaciones, que los ciberataques podrían ser más rápidos e intensos en los próximos años porque nada indica que vayan a remitir y que, lejos de ser más fáciles de repeler, serán más virulentos y peligrosos. En sus múltiples facetas. Desde el cibercrimen (ataques a sistemas y robo de información para beneficio ajeno); hackers; piratas del activismo (por ejemplo, organizaciones como Anonymous); ciber-terrorismo o entre naciones. Ya hay algunas señales de este agravamiento de los daños. El ataque contra alarmas de la firma estadounidense SimpliSafe sólo se remedió reemplazando sus 300.000 sistemas de detección, mientras que el hackeo contra TalkTalk costó a la compañía británica 50 millones de libras, más de 100.000 clientes y un descenso bursátil de sus acciones del 20%.

La ciberseguridad como área empresarial

Frente a ello, las empresas se han posicionado en los últimos años. Quizás los departamentos de ciberseguridad hayan sido las áreas que más recursos materiales, humanos y financieros han acumulado dentro de las estructuras corporativas en tiempos recientes. El Centre for Strategic and International Studies (CSIS) calcula que la criminalidad digital y la apropiación de propiedad intelectual superan los 445.000 millones de dólares de perjuicios para empresas y naciones. El equivalente al PIB de Austria. Casi la mitad que el español.

El mensaje de sus responsables es de un doble rasero: revelan preocupación, pero dejan margen para el optimismo. Porque, por ejemplo, en sectores como el energético se afirma que hay dos tipos de firmas, las que han sido hackeadas y las que no saben que han sido espiadas. Entre otras razones, debido a que los actuales piratas ya no se plantean retos tecnológicos individuales, sino que desarrollan una práctica ilegal que se ha industrializado, está en la mayoría de las ocasiones vinculada a grupos mafiosos e, incluso, países como China los han profesionalizado y conminan a sus saqueadores en bunkers donde copian sistemáticamente datos de alto valor estratégico. Aun así, confían en las soluciones. Recomiendan, por ejemplo, formalizar procesos de escalados efectivos, en función del estado de riesgo real, y modelar comités operativos, estratégicos y de crisis. Eso sí, juzgan necesario enarbolar la bandera de la cooperación internacional. Para, entre otras cuestiones, reforzar los Proveedores de Servicios de Internet (ISP’s) y los códigos software que impidan la presencia de hackers.

Desde el ámbito jurídico, también se reclama la definición de tipos penales que sancionen las conductas delictivas inherentes al mal uso de las tecnologías y que subsanen las carencias regulatorias de la ley procesal penal. Además de más recursos a los cuerpos de seguridad que tienen que investigar y perseguir, con suma celeridad, y con tecnologías avanzadas, a los hackers sin limitar garantías legales ni derechos ciudadanos.

En palabras de Axel P. Lehmann, jefe de Riesgo de la aseguradora Zurich, el resultado de esta batalla dependerá del grado de hiper-conectividad con el que se doten los equipos informáticos de control de riesgos y la coordinación entre los distintos organismos de seguridad nacionales. “No se trata de caer en la tentación de poner puertas al campo y reducir la libertad que impera en la Red”, sino de la habilidad que tengan Estados y empresas de “normalizar” los ciberataques con protocolos de actuación rápidos y fulminantes. La consultora Gartner estima que, en 2020, uno de cada cuatro ataques cibernéticos será a través de dispositivos de IoT, lo que exigirá que los gastos del sector privado en este terreno pasen de los 282 millones de dólares en 2015 a más de 547 millones el próximo ejercicio. O que la industria de la ciberseguridad, con sus 80.000 millones de dólares de valor, aúne esfuerzos y establezca sinergias con los 100.000 millones que gestiona su sector convencional para hacer frente a la amenaza digital.