La factura milionària dels ciberatacs

BarcelonaTres empreses de l'Íbex-35 han sigut víctimes d'un ciberatac per sostreure'n les dades en només dues setmanes. La informació de milers de clients es va filtrar a fòrums d'internet i va quedar exposada com un trofeu pels autors d'aquests delictes digitals. Durant l'últim mes els delinqüents informàtics han sumat entre les seves víctimes corporacions de la mida de Telefónica, Banco Santander o Iberdrola, que van haver d'informar d'aquests accessos "no autoritzats" a les seves dades. Les grans empreses no s'escapen de l'auge dels hackejos, cada cop més sofisticats i difícils d'esquivar gràcies a la intel·ligència artificial. De fet, en són les víctimes més cotitzades. És per això que la majoria han incrementat la seva inversió en ciberseguretat i ara dediquen una part important del seu pressupost en tecnologia a prevenir aquests atacs.

"La despesa específica en ciberseguretat pot variar àmpliament depenent de l'empresa i el sector", indica Alberto Maldonado, director regional per a la península Ibèrica de Zscaler, una empresa de seguretat al núvol amb seu a San José (Califòrnia). L'expert cita un estudi de la consultora Deloitte, segons el qual les grans corporacions poden arribar a gastar entre el 6% i el 14% del seu pressupost informàtic en ciberseguretat. També recorda que altres fonts situen que entre el 0,2% i el 0,7% dels ingressos anuals a la banca i les assegurances es podrien dedicar a aquest àmbit. És a dir, prenent aquesta estimació un banc podria estar invertint al voltant de 50 milions d'euros per cada 10.000 milions en ingressos. "En general, les empreses que operen en sectors crítics com el financer o l'energètic acostumen a assignar més recursos a la ciberseguretat, donada la naturalesa sensible de les seves operacions i la necessitat de complir regulacions estrictes", remarca Pedro Viana, director de prevendes a Kaspersky Iberia, un gegant de la ciberseguretat amb seu al Regne Unit.

Tots els experts consultats per a aquest article coincideixen a dir que els atacs dirigits contra els sistemes i les bases de dades de grans companyies van a l'alça i que ara aquestes empreses s'estan prenent els riscos que se'n deriven més seriosament. "Fa poc vaig visitar una entitat financera i només al departament de ciberseguretat ja eren 100 persones. Ara a moltes grans empreses ja hi ha un director de seguretat de la informació, amb més o menys recursos. Fa uns anys es veia com una despesa, perquè no n'obtens un retorn ràpid ni directe, però en això també hi ha influït força la regulació", indica Cristina Muñoz-Aycuens, directora de forensic a l'auditora i consultora Grant Thornton i experta de la firma en ciberseguretat. Concretament es refereix a dues normatives europees: la directiva NIS2 sobre mesures comunes per a les empreses de sectors crítics de tots els estats membres i la llei de resiliència operativa digital (o Dora), un reglament per a la gestió dels riscos de les tecnologies de la informació i la comunicació.

Quan un gegant empresarial com Telefónica, Banco Santander o Iberdrola pateix un ciberatac, però, la pregunta sempre és la mateixa: com és possible? "Aquestes mai se n'alliberaran, tenen una diana posada al front", apunta Selva Orejón, consultora en ciberseguretat i identitat digital i consellera delegada de l'empresa especialitzada Onbranding. Aquesta companyia ofereix serveis principalment a empreses petites i mitjanes, en què "només un incident petit" pot costar 250.000 euros de resoldre. En aquest sentit, l'experta recorda la importància de la formació per a les plantilles, ja que molts d'aquests incidents comencen per un phishing (un tipus de frau basat en l'enginyeria social amb el qual es demana a l'usuari informació personal o dades bancàries a través d'un correu electrònic o un SMS que suplanta la identitat d'un banc o un negoci) dirigit als mateixos treballadors. Però, tot i que faltin recursos per ajudar les plantilles a distingir aquests enganys, Orejón insisteix que no se'n pot responsabilitzar només els errors humans: "Si no tens un bon filtre en els sistemes de correu electrònic corporatiu, també dones més marge de maniobra als ciberdelinqüents per atacar persones que ja estan patint uns nivells d'estrès brutals".

Què passa amb les dades robades?

Nicolás Castellano és consultor en ciberseguretat a la companyia catalana Andubay i explica que les pimes amb què treballen acostumen a tenir un pressupost anual d'entre 50.000 i 500.000 euros. Si parlem de les pèrdues que pot generar un atac estàndard, l'especialista indica que cal tenir en compte la facturació que el negoci ha deixat de generar mentre els seus sistemes estan caiguts. "Fa poc vaig avisar una empresa catalana de renom que no havia de col·laborar amb un cibercrim pagant un rescat i el responsable va ser molt clar: «Si estic parat de divendres a dilluns hauré d'acomiadar 400 treballadors»", explica a tall d'anècdota.

En els últims atacs massius a grans corporacions espanyoles, algunes es van afanyar a dir que no s'havien filtrat dades crítiques com ara números de comptes bancaris, però els experts consultats asseguren que només amb informació bàsica com el nom, una adreça de correu electrònic o un domicili ja es pot exposar els clients a un risc important. "Ara que hem tingut una onada de ciberatacs arribarà una onada de fraus a aquests clients a qui han robat les dades i que hauran d'estar més atents a aquests enganys", conclou Muñoz-Aycuens.