En un mundo cada vez más digital, el espacio que se abre entre servidores, cables y satélites es campo de ciberataques, y el año de la pandemia no iba a ser la excepción. Más bien, todo lo contrario.
Durante los últimos años los informes del Centro Nacional de Inteligencia (CNI) han ido registrando aumentos de los ciberincidentes. Estas intrusiones o ataques afectan a empresas, administraciones del estado y particulares, y van desde intrusión en redes o equipos, hasta secuestro de datos personales, ataques con malware, phishing o otro tipo de fraudes.
Hasta fines de agosto de 2020, la Agencia Española de Protección de Datos (AEPD) había registrado 908 brechas de seguridad que han afectado a datos personales. De las 61 que hubo en agosto, 43 fueron clasificadas como intencionales (ataques a través de hacking, malware o phishing, por ejemplo).
En todo el mundo, el sector de salud ha sido uno de los blancos preferidos de los ciberdelincuentes
La pandemia, como a todo lo demás, ha afectado negativamente. Son meses en los que grandes cantidades de personas confinadas o que limitan sus traslados se conectan más horas desde sus hogares, tanto por trabajo y estudio como por ocio. El teletrabajo, la mayor cantidad de dispositivos y redes conectadas, el incremento de horas de conexiones han expuesto a más personas a ciberataques y han abierto nuevas oportunidades de intrusiones y explotación de vulnerabilidades.
Los hospitales y sistemas de centros sanitarios, sobrecargados de trabajo y con pocos recursos en muchos casos, no se han librado de los ataques. “En todo el mundo, el sector de salud ha sido uno de los blancos preferidos de los ciberdelincuentes, que usan ataques de ransomware (secuestro de datos), porque les funciona”, según Yolanda Quintana, periodista experta en ciberseguridad.
El incidente masivo de ‘WannaCry’ afectó a 40 centros de salud en Reino Unido en 2017 y antes se habían producido muchos otros casos (Los Ángeles, en 2016; Baltimore, 2016; Kentucky, 2016…), apunta Quintana.
En España, “lo que sabemos es que se trata de un sector muy vulnerable”, teniendo en cuenta los incidentes de 2009, en los que un gusano informático bloqueó el funcionamiento administrativo de varios hospitales madrileños, y que “se ha gestionado con bastante opacidad”, como se puede apreciar en las informaciones relativas a un ataque al Hospital de Torrejón.
A la situación actual de mayor cantidad de trabajo en remoto se suma un cambio en el estado mental social provocado por la crisis de la COVID-19. La población se ha volcado a la red a buscar información para paliar la incertidumbre, y esta situación ha sido aprovechada por generadores de bulos y de desinformación en torno al coronavirus.
La infodemia
«No sólo luchamos contra una epidemia, sino también contra una infodemia«, había advertido Tedros Adhanom Ghebreyesus, director general de la Organización Mundial de la Salud (OMS) en una reunión con expertos a mediados de febrero. La OMS ha señalado que las fake news se estaban expandiendo más rápidamente que el coronavirus y sus efectos podrían tener impacto en la evolución de la pandemia.
En España, la Policía detectó a finales de marzo el registro casi simultáneo de 12.000 nuevos dominios web relacionados con el coronavirus, que sospechaban que tenía un trasfondo delictivo y fraudulento. Estos hechos se encuadran dentro del panorama de aumento de noticias falsas con el inicio de la pandemia, contra las que la Polícía presentó una guía para que la ciudadanía pudiera detectarlas.
España sufre diariamente tres ciberataques de peligrosidad crítica o muy alta contra el sector público y empresas estratégicas
Publicidad
Las falsas alertas bajo la apariencia de mensajes de las fuerzas de seguridad son un tipo de mensaje engañoso recurrente, que recibimos y verificamos con regularidad en Newtral. A ellas durante esta infodemia se sumaron más temas, relacionados con informaciones relativas al virus: su origen, los tratamientos, los alimentos o las vacunas.
La media de consultas recibidas por Newtral a través del servicio de verificación bajo demanda vía WhatsApp ha llegado a multiplicarse por 16 en los primeros meses de la pandemia de COVID-19, y el 95% de las peticiones de verificación recibidas han estado relacionadas con la COVID-19.
Ciberguerra: conflictos híbridos
Esta nueva realidad a nivel global entra en lo que se denomina ciberguerra. Con este término se alude a muchos factores distintos. En los conflictos bélicos pasados y sobre todo futuros, la tecnología interviene de formas diferentes: como arma, como campo de batalla o como soporte de nuevas tácticas y estrategias. Quintana explica en su libro ‘Ciberguerra’ que aunque el ciberespacio y las tecnologías de la información sean el escenario principal, lo más frecuente son los conflictos híbridos, en los que se combinan entornos y daños virtuales y reales.
España sufre diariamente tres ciberataques de peligrosidad crítica o muy alta contra el sector público y empresas estratégicas, según el informe ‘Desinformación en el ciberespacio’, del Centro Criptológico Nacional (CCN-CERT). Algunas de estas acciones ofensivas tienen su origen, principalmente, en otros Estados que “tienen entre sus propósitos debilitar y comprometer la capacidad económica, tecnológica y política de España en un mundo cada vez más complejo, competitivo y globalizado”.
En ciberseguridad se dice que tu sistema es tan seguro como su punto más vulnerable, y este suelen ser los humanos.
En nuestro país, el 23 % de las empresas grandes ha sufrido algún incidente de seguridad durante el último año. En el caso de las PYMES el porcentaje baja hasta el 12 % y en el caso de ciudadanos sube hasta situarse en el 28 % por debajo de la media europea que se sitúa en el 34 %, según datos del informe del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), de mayo de este año.
En 2019, el Centro Criptológico Nacional (CCN-CERT), dependiente del CNI gestionó 42.997 ciberincidentes –más de un 11 % con respecto al año anterior–, de los cuales casi un 7,5 % fueron de peligrosidad muy alta o crítica.
Si miramos la tipología de esos incidentes, destacan de manera clara los relacionados con intrusiones y código dañino, que llegan a ser un 64% del total.
Tipos de ciberincidentes
El CCN-CERT ha clasificado los ciberincidentes más significativos, agrupados por las motivaciones de los agentes:
Ciberespionaje
Se llama así a operaciones de adquisición de información, un tipo de intrusión en el que entra el 25% de las brechas de datos, según asegura el Verizon Data Breach Investigation Report (DBIR) 2019. Según el estudio, el 34 % de estas brechas está relacionadas con actores internos, el 39% con organizaciones criminales y en el 23% de los casos las figuras responsables fueron Estados.
Operaciones disruptivas y de control
Estos ataques son aquellos que tienen impacto en sistemas ciberfísicos o físicos, como por ejemplo las redes eléctricas, o los sistemas de administración de los hospitales cuando les impiden continuar con su funcionamiento.
Desinformación
Los ataques también consisten en operaciones de influencia. Su objetivo es alterar el funcionamiento de unos de los principales elementos del desenvolvimiento de una democracia liberal y de un Estado-Nación moderno: la opinión pública. Los responsables suelen ser gobiernos y grupos subnacionales, según el CC-CERT, Rusia ha sido uno de los países que más ha desarrollado el concepto de guerra híbrida o, en palabras de la doctrina militar rusa, “guerras no declaradas” y “guerras no lineales”.
Quintana explica que en las campañas de desinformación que tienen un fin geoestratégico (es decir, cuando estamos hablando de la de la actuación ofensiva de los servicios de inteligencia y los ejércitos en el ciberespacio), “el ciberataque es un elemento en juego más y se produce una acción combinada de robo de información y acciones de intoxicación informativa, como por ejemplo, parece acreditado que ocurrió en las últimas elecciones norteamericanas que dieron el triunfo a Trump”.
Cibercrimen
Caben dentro del cibercrimen todas las operaciones delincuenciales: ransomware o secuestro de información sensible por la que te piden que pagues un rescate; supermercados ilegales (drogas, armas, documentos falsos, malware, bases de usuarios, etc); “fraude al SEO”, un tipo de estafa que consiste en ingeniería social dirigida hacia empleados de una compañía con acceso a los recursos financieros de la empresa.
Ingeniería social y el eslabón más débil
En ciberseguridad se dice que tu sistema es tan seguro como su punto más vulnerable, y este suelen ser los humanos. La ingeniería social es una de las técnicas preferidas por los delincuentes, y consiste en manipulación psicológica para obtener información o que las personas actúen de determinada manera. Los timos de toda la vida, como el de la estafa nigeriana no necesitan de la tecnología, sino de la facilidad de convencer a alguien.
Contra este tipo de ataque no hay sistema informático que nos pueda proteger. El reciente hack a Twitter, el más grave que ha sufrido en su historia, puede haber sido hecho con esta técnica, ya que el adolescente que según fuentes de la investigación estaba detrás de este ataque, era conocido por llamar a empleados de compañías haciéndose pasar como un proveedor para convencer a otros empleados de meter sus credenciales en sitios fraudulentos donde pudiera apropiarse de ellas. Esas credenciales luego se usaban para entrar a los entornos de trabajo internos de esas compañías.
Phishing y vishing
El phishing (homófono de fishing, pescar en inglés) es una táctica maliciosa que consiste en hacerse pasar por otra persona o entidad para conseguir credenciales, datos personales o acceso a cuentas. En este artículo damos una serie de consejos para evitarlo. Cuando se utiliza una llamada vía telefónica para hacer phishing, en vez del email, se le llama voice phishing o vishing.
Ransomware, el secuestro de datos
En los ataques contra centros y personal sanitario, suelen atacar con ransomware, una especie de secuestro de equipos y de datos. Los delincuentes exigen el pago de un rescate para liberar posteriormente la información.
Pero algunos van más allá, y además de ese cifrado avisan que han robado la información, y que la van a publicar en el mercado negro. Esto es lo que sucedió este año en el caso de un hospital en Barcelona, según Xavier Hidalgo, experto en seguridad con años de experiencia en administración de sistemas sanitarios. La información en el caso de centros de salud se trata de historiales médicos, un material muy sensible que se paga caro.
“Eso es crítico porque tú no sabes realmente si te la han robado o no”, comenta Hidalgo, y puede destrozar la reputación de tu empresa si se conoce. En el caso de este hospital, tuvieron suerte de que el sistema principal del hospital no se vio afectado y pudieron continuar los servicios inmediatamente, según Hidalgo.
Ataques a hospitales en plena pandemia
Hace apenas unos días se conocía la noticia de un ciberataque al UKD, el hospital universitario de Dusseldorf, en Alemania. En marzo de este año, en España, la Policía Nacional alertaba sobre una campaña de envío masivo de correos electrónicos con virus para infectar los dispositivos de profesionales sanitarios y hospitales en plena crisis del coronavirus. En el envío se detectó un virus informático llamado Netwalker, de tipo ransomware. Según fuentes de la Policía Nacional, el ataque tenía capacidad para “romper todo el sistema informático de los hospitales”.
En esa ocasión, una firma española, Redhacking, ofreció auditorías gratuitas en ciberseguridad para hospitales, aunque sólo tres se apuntaron finalmente. Xavier Hidalgo es el CEO de este grupo auditor en seguridad y nos dice que «ya en una situación normal, los recursos de los que disponen los hospitales son pocos, no tienen presupuesto». No se refiere sólo a los sueldos. «Los departamentos están igual, desbordados e intentan hacer lo mejor que pueden con el dinero que tienen”.
Explica que lo que pasó en la pandemia fue que “han tenido que publicar servicios internos a través de internet, para tener acceso desde fuera a la información interna. El personal médico tenía que estar ahí pero el personal no asistencial podía teletrabajar. Sin embargo, ni las empresas, ni los hospitales estaban preparados para esta carga de trabajo y esta apertura de los servicios públicos a internet”. Ante lo que se venía, se dio acceso a los profesionales de manera no convenientemente securizada, y esto añadía un nuevo factor de riesgo, según Hidalgo.
¿Hay antecedentes de ataques a hospitales prepandemia? Aunque Quintana dice que no podemos tener constancia de qué tipos de ataques en concreto han sufrido en España los centros sanitarios (y, por tanto, si ha habido precedentes de estos casos), cree que es «muy posible» que hayan ocurrido.
En 2018 el CCN-CERT alertaba que solo en la primera mitad de ese año había gestionado 486 incidentes en el sector salud (314 fueron catalogados con una criticidad alta; 169, con una criticidad media; y 3 de ellos, con criticidad muy alta. Por tipología, 125 fueron ataques a través de código dañino que afectaron a los sistemas de entidades sanitarias).
Hidalgo es más categórico: “Siempre hay ataques. Las empresas, y los hospitales, están constantemente siendo atacados”. Explica que suelen ser “mafias que en su mayor parte últimamente vienen de Rusia”. Esta vez “parece que quisieron dar un mensaje a los sanitarios de que estuviesen tranquilos, que iban a respetar a los hospitales durante la pandemia, que no iban a añadir más stress”. Pero esto no fue cierto porque ellos dicen haber monitorizado hospitales que seguían siendo atacados.
Fuentes
- Informe agosto Agencia Española de Protección de Datos 2020 (PDF)
- Informe “Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa”, Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI)
- Informe Ciberamenazas y tendencias Edición 2020, CCN-CERT
- Informe Desinformación en el ciberespacio, CCN-CERT
- Verizon Data Breach Investigation Report (DBIR) 2019
