Els ‘hackers’ despullen les empreses
INFORMÀTICA
PAULA SOLANAS

Els ‘hackers’ despullen les empreses

Els ‘hackers’ despullen les empreses / ÀLEX SANTALÓ

El nou reglament de protecció de dades força les companyies a fer públics els ciberatacs que reben, i això ha permès descobrir que són molt més habituals del que sembla. I que empreses i empleats encara van molt perduts

L’administració, les empreses de l’Íbex o, aquesta mateixa setmana, l’escola de negocis Iese i el Port de Barcelona. La mida no importa. Qualsevol empresa o institució és susceptible de convertir-se en la següent diana d’un ciberatac massiu. De sobte, les empreses es veuen obligades a fer hores extres per salvar les seves dades de l’ofensiva dels hackers. A més, ara hi ha una petita diferència: des del maig, el nou reglament europeu de protecció de dades obliga totes les empreses a comunicar aquests atacs a les autoritats de protecció de dades -i, si és greu, als clients afectats- durant les 72 hores posteriors a l’incident. Això ha provocat que molts casos que abans es mantenien en secret surtin a la llum, que s’escampi la sensació de vulnerabilitat entre les empreses que encara no han estat atacades i que s’accelerin les inversions en ciberseguretat per estalviar-se el tràngol de reconèixer aquests problemes en públic. Però, ¿és suficient perquè les empreses es prenguin seriosament l’amenaça del crim digital?

WannaCry. Fa un any i mig aquesta paraula es va escampar a la mateixa velocitat que la por entre centenars d’empreses. El WannaCry és un ransomware (un tipus d’atac que bloqueja els sistemes de l’empresa fins que l’afectat paga un rescat, sovint en bitcoins) que va ser capaç de provocar un nivell d’alerta informàtica mai vist al món empresarial, i que fins i tot va aconseguir infectar les xarxes de gegants com Telefónica o CaixaBank. Moltes de les afectades van optar per dissimular de portes enfora i van negar que el virus hagués segrestat els seus ordinadors. “Als directius de les grans empreses el que més els preocupa és la reputació”, explica Daniel Cruz, director d’operacions de la companyia especialitzada en ciberseguretat Ackcent Cybersecurity. Només durant el 2017 l’Institut Nacional de Ciberseguretat d’Espanya (Incibe) va comptar més de 120.000 ciberatacs a l’Estat (o, cosa que és el mateix: 13 cada hora), un rècord que els experts preveuen que es tornarà a batre.

“La pime també s’ha posat les piles i ens truquen moltes empreses mitjanes que han patit estafes”, assegura Nicolás Castellano, director d’operacions d’Andubay, una consultora en ciberseguretat. Després d’aplicar el nou reglament de protecció de dades a correcuita, no només les grans empreses paren més atenció a les bretxes dels seus sistemes. Castellano ha atès casos de tot tipus. “Hi ha empreses a qui intervenen les factures i modifiquen les dades bancàries per fer arribar els diners als delinqüents”, recorda. Per a una pime, un atac així també pot implicar pèrdues de milers d’euros i aturades en la producció de diverses hores. Segons un estudi recent publicat per ACCIÓ, una agència de la Generalitat, de mitjana les empreses perden 17 hores anuals per culpa dels ciberatacs. “El cibercrim recorre a les petites empreses per captar diners fàcils i aconseguir finançament per a atacs més grans”, explica Bosco Espinosa de los Monteros, director de prevenda de Kaspersky Lab, el gegant rus de la seguretat informàtica.

Un dels negocis que més s’han blindat és la banca i, tot i així, des del sector de la ciberseguretat s’admet que no són immunes als atacants. “Els demanen moltes auditories, però hi ha temes tècnics que sempre queden fora i no es pot garantir la seguretat al 100%”, diu Castellano. Eloi Font, advocat i director del bufet especialitzat en dret digital Font Advocats, assegura que les entitats financeres són “les que reben més atacs”. “Sortiran a la llum molts casos que fins ara no sabíem”, apunta. El seu despatx s’ha centrat en els últims mesos a assessorar moltes companyies que s’han hagut d’adaptar a última hora a les noves exigències d’Europa i reconeix que les empreses prioritzen altres temes, com els consentiments, abans que les mesures de seguretat. Un estudi elaborat per la UB i la consultora EY assegurava que el 60% de les empreses catalanes invertiran en ciberseguretat, però el sector creu que encara s’està lluny d’aquests nivells.

En episodis com el que va patir l’Iese aquesta setmana, l’objectiu és més aviat deixar en evidència la institució que fer negoci amb les dades que s’extreuen. Una de les raons per les quals els hackers de La Nueve -un grup vinculat a Anonymous- van ser capaços de penetrar en els sistemes de l’escola de negocis és tan simple com que els seus sistemes operatius no estaven actualitzats. I aquest no és un cas esporàdic, sinó la tònica habitual per a moltes empreses i institucions, que no renoven el programari tan sovint com recomanen els experts. El mateix WannaCry només atacava si els sistemes no estaven actualitzats. “Te’n faries creus de la quantitat d’empreses que tenen Windows XP als seus ordinadors en entorns crítics com l’energia nuclear o les petrolieres”, exclama Cruz.

Helena Rifà, experta en aquest camp i directora de la càtedra UOC-IBM de ciberseguretat, creu que el retard en les actualitzacions fa que sovint virus que ja han estat publicats agafin les empreses desprevingudes. Precisament, Castellano apunta que com més grans són les empreses més difícil és restaurar el programari, ja que suposa fer moltes proves prèvies. Albert Soriano és el responsable a Catalunya de CheckPoint, un altre dels líders del sector. “És una guerra entre l’atacant i el defensor. Tots dos utilitzen les seves armes i si els exèrcits són desiguals està bastant clar qui guanyarà la batalla”, afirma.

I tot i així, molts cops els causants dels errors en la seguretat informàtica no són les màquines, sinó les persones. El factor humà és clau en la prevenció dels atacs, i ara encara és un dels aspectes més oblidats en les polítiques internes de la majoria de companyies. “El més fàcil és comprar tecnologia, però el forat real és a les persones: si no tenen la formació adequada, un incident tonto es pot fer molt gran”, assegura Daniel Cruz, d’Ackcent Cybersecurity. Hi ha errors molt habituals, des d’obrir un enllaç d’un correu electrònic sospitós fins a connectar a l’ordinador un llapis de memòria d’origen desconegut. Hi ha molts errors comuns dels treballadors que els equips informàtics de les companyies només poden evitar fent un exercici de sensibilització. “Ningú et regala un iPhone a Facebook perquè sí, però és una manera molt fàcil de captar comptes d’usuaris”, adverteix Espinosa de los Monteros sobre els anuncis a la xarxa.

Una de les cartes que algunes grans empreses estan jugant per prevenir ciberatacs massius gairebé sembla un joc de rol. Es tracta dels anomenats red teams, equips de hackers que posen a prova els sistemes de seguretat de la companyia per detectar-hi bretxes i assegurar-se que les solucions que s’estan aplicant són efectives. Un altre grup d’experts, denominat blue team, analitza les vulnerabilitats. Aquestes mesures, però, quedaran en paper mullat si les empreses de ciberseguretat no aconsegueixen superar el dèficit de treballadors especialitzats que pateix el sector. “Només a Europa falten 200.000 professionals. Al màster es graduen 200 estudiants a l’any, però no podem créixer al mateix ritme”, apunta la directora de la càtedra de cibersegurat UOC-IBM. Castellano i Cruz fan el mateix diagnòstic. “Hi ha una guerra per fitxar gent entre empreses”, admet el directiu d’Ackcent.

Segons l’esmentat estudi d’ACCIÓ, a Catalunya hi ha fins a 352 empreses que es dediquen a la ciberseguretat, i juntes sumen una facturació de 806 milions d’euros. Si el 2004 el mercat global d’aquest negoci amb prou feines arribava als 3.500 milions de dòlars, ara ja supera els 90.000 milions. El creixement anual del sector es mou entre el 12% i el 15%, i es preveu que la despesa en ciberseguretat al món arribi al bilió de dòlars de cara al 2021. Malgrat que aquest univers de companyies està controlat per multinacionals americanes i britàniques, a Catalunya el 95% del sector són pimes. Les empreses del sector reconeixen que hi ha més feina que fa uns anys, però n’hi podria haver molta més. “Si totes les companyies s’hi haguessin posat, estaríem desbordats, i no ho estem tant”, apunta Castellano. L’advocat Eloi Font assegura que els dies abans d’aplicar el reglament van ser “un tsunami”, però l’arribada de nous projectes encara es manté ara. Cruz afegeix que el reglament “no ha portat necessàriament molt més projectes, però ha donat notorietat pública al tema”.

Soriano creu que les empreses estan prenent consciència, però que s’estan blindant més a nivell legal que incorporant sistemes més segurs. Per a Font, el problema és que no hi ha una “cultura de la seguretat informàtica”, mentre que cada vegada fem un ús més intensiu de la tecnologia. “S’hi destinen més recursos, però hi ha cada vegada més atacs”, afegeix la professora Helena Rifà. En aquest sentit, Cruz creu que el reglament europeu de protecció de dades serà una bona peça “per obligar a fer coses”, però , com en altres greuges, al final la millor motivació serà veure que el següent afectat és “el teu veí”.