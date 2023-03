El ataque sufrido por el Hospital Clínic, aunque es muy espectacular por sus consecuencias, es un hecho casi habitual en nuestros días. Grandes empresas, y sobre todo pymes e incluso particulares, sufren a diario este tipo de delito informáticos. El profesor de la Universitat Oberta de Catalunya, UOC, y experto en ciberseguridad, Jordi Serra, ofrece las claves de este caso y de los otros muchos que se dan actualmente.

¿Cómo puede atacarse una institución como el Hospital Clínic?

Los ciberdelincuentes buscan puertas por donde poder entrar. Muchas veces, todo esto empieza por algún paciente, trabajador o colaborador que ya tiene instalado en su dispositivo personal, ordenador o móvil, un troyano o similar. Accede a la red de una corporación con este dispositivo y, sin saberlo, ofrece a los ciberdelincuentes un acceso remoto. Es como abrir una puerta por detrás. Durante la pandemia, por ejemplo, era muy usual trabajar desde casa, y abrían los ordenadores para que los empleados pudiesen trabajar en remoto. Eran puertas más abiertas para poder entrar, sobre todo si no estaba totalmente actualizado el software.

¿Son frecuentes este tipo de ataques?

Es bastante general. Intentan ir a las grandes corporaciones o empresas, aunque éstas ya tienen sus equipos de seguridad y medidas complejas y les es más difícil. Sin embargo, las pequeñas y medianas, muchas veces tienen subcontratados delegadas ciertas tareas y funciones, y al final esos equipos externos son los que acaban utilizando los ciberdelincuentes para acceder a los sistemas.

¿Hay mucho más ataques de los que se denuncian?

Las empresas normalmente no denuncian este tipo de ataques. Las administraciones, por ley, están obligados a comunicar cualquier tipo de incidente con la privacidad de los datos. Por eso se saben muchos más casos que pasan en la administración pública. Por lo que respecta a las empresas, si saben que ha habido fugas de información y que ésta se puede hacer pública, también están obligadas a decirlo, pero normalmente se callan porque tienen miedo a que no quieran volver a trabajar con ellos. Pagan y ya está. Hay muchos más ataques que los que se conocen.

¿Qué es un ataque Ransomware como el del Clínic?

Cifran todos los documentos de ofimática, fotos, vídeos, de la empresa o personales y piden rescate. Ransomware viene de secuestro. Vemos la información pero no podemos acceder porque está encriptada.

¿Se puede desencriptar si no se paga?

Depende de las herramientas que usen los ciberdelincuentes para ese encriptamiento. Si usan herramientas antiguas, utilizadas anteriormente por otros delincuentes, se puede llegar a revertir el proceso y recuperar la información. Pero si utilizan herramientas propias y desconocidas para los equipos de recuperación, es muy difícil que una persona o empresa pueda dar marcha atrás a este ataque.

¿Hay muchos ciberdelincuentes?

Actualmente, hay muchos grupos que se dedican a esto. Algunos cierran el grupo y abren después otro, o le cambian el nombre para que no puedan seguirlos y esconderse. Muchos grupos se han convertido en empresas, compañías que se dedican a la ciberdelincuencia. Sobre todo en Asia, y en China en particular, hay empresas, por decirlo así, que ofrecen a jóvenes que acaban sus estudios coger experiencia en campañas de recogida de datos o hacer 'phising' en empresas. Estas 'empresas' tienen auténticos expertos en comunicarse con las empresas para chantajearlos, para investigar la empresa y saber hasta dónde pueden pagar.

¿Cómo se estructuran estos grupos?

No se conocen entre ellos. Se relacionan a través de la 'dirt web', la internet oculta. Ahí hay todo un mercado de herramientas y de información. En la “dirt web”, y la “dark web”, más abajo aún, se compra y vende información que un grupo saca al entrar en una empresa. Se llevan información sensible o información que las empresas no quieren hacer o no pueden hacer pública, y si no pagan para que no se publique, se vende en este mercado.

¿Se pueden evitar estos ataques?

Hay que ponérselo difícil. En el mundo físico, cuando salimos de casa, cerramos las ventanas y cerramos las puertas para que nadie pueda entrar. Pero un día volvemos, y han podido entrar por la ventana. Normalmente, cambiaremos el tipo de ventana por uno más seguro, o pondremos rejas. En fin, pondremos todos los impedimentos para que puedan entrar otra vez. Nos aseguraremos que todas las posibilidades están contempladas y aseguradas. Pero en ciberseguridad, tan solo se necesita un agujero para poder entrar. En el mundo físico, equivaldría a cambiar todas las ventanas menos una porque es diferente y se cambiará el mes que viene. Ese detalle, es suficiente para que puedan volver a entrar.

¿Un hospital tampoco evitar estos ataques?

En el caso, por ejemplo de un hospital, las puertas son muchas, desde los mismos trabajadores a pacientes, que todos tienen acceso a la red. Con tantas puertas diferentes y teniendo en cuenta que tan solo necesitan una puerta, es bastante difícil asegurar que no se pueda entrar. Por más que se tengan los mejores sistemas, como en el caso del Clínic, con servicios propios y la Agencia de Ciberseguridad de Cataluña, siempre hay una posibilidad.

¿Es una actividad al alza?

Los ciberdelitos son más fáciles de cometer. Para atracar una gasolinera o una farmacia, necesitas alguien que se mueva, una infraestructura, necesitas tiempo… En el ciberespacio puedes atacar a cualquiera, pides un rescate en Bitcoins que nadie sabrá quien los recibe. Y si alguien investiga, como el ataque se ha hecho a través del ordenador de una señora de L’Eixample, la conclusión es que es mucho más fácil delinquir desde internet. También es mucho más fácil esconderse.

Un consejo para evitar un ataque.

Hay que actualizar continuamente, porque al final las puertas son cuestión de tiempo. Con la última versión del programa, mañana quizás no pueden entrar, pero al final, siempre se puede encontrar algún detalle que se le pasó por alto al programador. Y al cabo de una semana, ese descuido es una puerta abierta a los delincuentes. Cuando se detectan esos agujeros, se han de cerrar con la última versión del software.

Los ciberdelincuentes van por delante de la policía?

Los ciberdelincuentes y quienes los persiguen están en igualdad de condiciones. No es que vayan por delante. Unos y otros tienen las mismas herramientas, los mismos conocimientos, porque quienes cometen los ciberdelitos son jóvenes que han estudiado una carrera con las mismos contenidos que todo el mundo. Las técnicas son conocidas. La única diferencia es que van buscando una web mal configurada, una impresora compartida, una cámara de vigilancia conectada directamente a la red con la contraseña que viene por defecto y que el propio fabricante publica en su web.

¿Cómo se les pilla?

Se les pilla también por un descuido. Un día no se conectan a través de un país asiático o de Europa del Este, que ofrecen facilidades para estas actividades, o ese día se conectan directamente y no a través del ordenador de la señora de L’Eixample. Los investigadores tiran de ese hilo, porque queda registrada la IP. Ha de ser un descuido que deje un rastro para poder seguirlo.

¿Se ataca a particulares?

La gente normalmente no lo dice, pero sí que es verdad que a particulares también les han secuestrado la información, sobre todo las fotos, y si no tiene una copia de seguridad, las pierde, por lo que normalmente paga, aunque no lo diga.