“Alrededor del 1% de todos los ataques globales de ransomware se centraron en España”

Barracuda Networks es una empresa que viene desarrollando servicios de seguridad para la Red desde 2003. Desde que su fundador Dean Drako lanzara Barracuda Spam y Virus Firewall a comienzos de siglo, la compañía ha crecido hasta convertirse en una de las principales empresas de seguridad que desarrolla soluciones de protección contra todo tipo de amenazas en la Red. Y son muchas.

Miguel López es el director general de Barracuda Networks en España y ha charlado con LA RAZÓN de los peligros que acechan en Internet en un 2021 en el que la ciberdelincuencia ha aumentado como consecuencia de la pandemia. Hablamos de la relevancia de España para el cibercrimen, la situación de las empresas y los ataques recibidos por la administración, las bandas de cibercriminales con mayor actividad, el peor escenario posible en un ataque y las sofisticadas técnicas de los criminales, entre otros temas.

¿Cuánto han aumentado los ataques de ramsonware (secuestro de equipos informáticos y extorsión) en España?

Es difícil indicar una cifra exacta pues no todos los ataques sufridos son visibles para las autoridades o a nivel estadístico. Desde una perspectiva más global nuestro último estudio sobre el RAM software arroja un crecimiento medio del 67%.

¿En qué porcentaje han sido objeto las grandes corporaciones y empresas relacionadas con la infraestructura en España?

Los ataques a corporaciones, como infraestructura, viajes, servicios financieros y otras empresas, supusieron el 57% de todos los ataques de ransomware entre agosto de 2020 y julio de 2021, frente a solo el 18% en nuestro estudio de 2020.

¿Son también en España las bandas REvil y Darkside las más activas cómo sucede a nivel global? Si no, ¿cuáles?

Efectivamente son dos de los más habituales, sin embargo, existen otros grupos tan peligrosos o más como puede ser Grim Spider (supuestos creadores de RIUK responsables del ataque al SEPE) o Lazarus Group (que estuvo hace años detrás del famoso Wannacry) por poner un par de ejemplos.

El 30% de los ataques se produjeron en Europa, ¿qué porcentaje nos corresponde?

Según nuestro estudio alrededor del 1% de todos los ataques globales de ransomware se centraron en España. Hay que mencionar que este dato hace referencia a los ataques “conocidos y reportados” … Dada la larga tradición de las organizaciones de nuestro país a la hora de ocultar y no informar acerca de haber sufrido un ataque, no es descabellado pensar que este porcentaje está infravalorado. En otros países hay mucha mayor tradición y costumbre de informar del ataque lo que hace que probablemente en España muchos ataques no son reportados y por tanto no se muestras en las estadísticas.

¿Cómo valora la capacidad de defensa de las grandes corporaciones en España en relación a los países de nuestro entorno que tienen, sí es el caso, menos ciberataques exitosos? ¿Y de las empresas relacionadas con infraestructuras?

Este es un aspecto que viene mejorando notablemente en los últimos años pero en el que aún estamos lejos de los primeros países de Europa. Sólo muy recientemente nuestras grandes empresas empiezan a considerar la ciberseguridad como un aspecto crítico. Y si hablamos de Administraciones públicas o de empresas pequeñas y medianas la situación es incluso peor.

¿Cuál es el mayor ataque que ha recibido la administración pública en España?

Probablemente el ataque al SEPE ha sido uno de los más importantes, tanto por el impacto mediático como por los efectos y daños prácticos del mismo.

¿Qué porcentaje de casos se resuelve, se recupera el dinero o se pilla a los atacantes?

Depende mucho del tipo de ransomware utilizado, así como de la empresa u organización que lo haya sufrido. Habitualmente empresas o administraciones públicas pequeñas o medianas no suelen contar con medios para recuperarse del ataque o para perseguir a los atacantes por lo que, en estos casos, aunque el volumen o la cuantía del rescate es menor es muy habitual que los atacantes se salgan con la suya. En el caso de organizaciones de gran tamaño, la mayor cantidad de medios disponibles tanto preventivos como reactivos permite mejorar la reacción al ataque, la velocidad de recuperación y el número de casos resueltos. En cualquier caso, la mejor estrategia es siempre contar con medidas de prevención, reacción, backup y análisis forense que nos permitan hacer frente al ataque sin necesidad de pagar rescates que, por otra parte, no garantizan el acceso a los datos y servicios bloqueados y sin embargo alimentaron y hacen cada vez más potente a la industria de los ciber delincuentes.

¿Cuál es el peor ataque que podría suceder? El peor escenario posible.

Hemos visto cómo un ransomware es capaz de paralizar por completo la actividad de una empresa o administración pública ... El peor escenario posible probablemente sería aquel en el que viéramos un ataque similar al sufrido por el SEPE pero en una organización que proporcione algún tipo de servicio, suministro o infraestructura crítica… Supongo que es mejor no dar más pistas.

¿Cuál es el eslabón más débil con el que cuentan las empresas? ¿Y la administración?

Aunque suene a tópico, probablemente el eslabón más débil sea la propia interacción que los usuarios y empleados de estas organizaciones realizan con sus sistemas informáticos ... Para un atacante muchas veces es más sencillo y rápido engañar a un usuario mediante ingeniería social y que clique en un link que le dé acceso a un sistema crítico o, directamente, comparta con él sus credenciales que utilizar alguna avanzada amenaza o software de ataque. Parece crítico empezar a formar a los usuarios para que cuenten con los conocimientos necesarios para auto protegerse mientras utilizan herramientas informáticas.

¿Cuál es el error más común que cometen las empresas en sus medidas de protección ante ataques de ramsonware?

Existen varios errores habituales, pero entre los más frecuentes y peligrosos cabría citar los siguientes pensamientos que suelen rondar por la mente de muchos directivos: “¿quién podría tener interés en atacarme a mí?”, “ya tengo un FE o un Antivirus así que estoy protegido”, “mi proveedor de servicios o software me garantiza la seguridad” o “si tengo un ataque ya veré lo que hago”.

¿Qué distingue a las empresas más seguras de las menos seguras?

La diferencia clave consiste en que sus directivos y empleados son conscientes de que la ciberseguridad es un elemento clave y crítico en su cadena de producción.

¿Cuál es la recomendación más importante que puede hacer Barracuda Networks a las empresas y otros objetivos?

Incluir la ciberseguridad en sus planes y estrategias corporativas y dotarse de talento y personal cualificado en seguridad informática a la vez que le dota de las herramientas técnicas adecuadas.

¿Qué estándares de protección creen que deben adoptar las empresas?

Existen diferentes estándares de seguridad según el entorno y la actividad de la empresa, pero más allá que cumplir una determinada certificación creo que el ejercicio que toda empresa debe hacer es el de simular que sucedería en caso de recibir un ataque y prepararse de esta forma para hacerle frente.

¿Cuál es el objetivo más común que buscan los atacantes? ¿Y el que sería la “presa” ideal?

Los atacantes acostumbran a regirse por un estricto criterio de optimización de beneficios. De este modo ninguna organización se libra de ser objeto de un ataque ya que incluso para aquellas con pocos medios económicos el ataque puede ser rentable para el ciber delincuente precisamente por su sencillez de ejecución. Al mismo tiempo empresas más potentes y con más medios deben de invertir si cabe aún más ya que el aliciente para atacarles puede proporcionalmente ser aún mayor.

¿Sólo las empresas y entidades tienen que preocuparse de un ataque de ramsonware? ¿Y los particulares?

El ransomware puede atacar cualquier dispositivo y cualquier organización de igual manera que puede atacar a los usuarios particulares. Hay grupos de ciber delincuentes que se especializan en unos u otros entornos, pero realmente cualquiera puede ser objeto de este tipo de ataques.

¿Cómo prevé Barracuda Networks la evolución de los ataques contra las empresas para los próximos años?

Estamos viendo ya, y creemos que es una tendencia que se acelerará en los próximos años, cada vez mayor número de ataques que combinan múltiples técnicas de ingeniería social y diferentes modalidades de ataque como Spear Phishing o Account Takeover. Los ataques serán cada vez más multivectoriales pudiendo llegar al usuario a través de diferentes dispositivos y aunque el correo seguirá siendo probablemente el que mayor número de ataques aglutine creemos que otros vectores cómo el tráfico y la navegación web verán cada vez mayor número de ataques, combinándose en ocasiones diferentes vectores.