El ingeniero David Conde es director de Ciberseguridad de la compañía S21Sec, empresa de prevención y respuesta ante ataques informáticos con delegaciones en Bilbao, Donostia, Gasteiz e Iruñea. Conde participó en un foro de la reciente Bienal de Máquina-Herramienta, en el que abordó los crecientes ataques a pymes en la industria, algo que cada día preocupa más al sector por el robo de información técnica y financiera que implica.

¿Cuál es el campo de acción concreto de S21Sec?

Proporcionamos servicios a las empresas destinados a la ciberseguridad, ayudando a las empresas cuando sufren un incidente, o bien contribuyendo a prevenirlo. Respondemos a incidentes críticos, que afectan a la producción de una empresa, o de forma transversal a las distintas áreas de las compañías: legal, técnica y financiera.

¿Cual es el tipo de ataque más frecuente que se produce?

El ramsonware es la manera más sencilla para estas organizaciones de obtener un rédito económico, ya sea por el cifrado de la información o por la venta de la información a terceros. Solemos trabajar con los clientes antes de que produzca un ataque, porque responder a uno es siete veces más caro que prevenirlo. En función de la preparación, suele haber dos tipos. Por un lado, está lo que se llama un ataque dirigido, que suele ser más sigiloso, con objetivos claros y un trabajo previo de meses e incluso años. Luego están los ataques de superficie, que llevan poco más de una semana de preparación, y consiste en lanzar un ataque global a muchas empresas y ver quien pica el anzuelo. 

¿Ha pasado la industria a ser el blanco más asiduo de estos ataques, en lugar de entidades financieras o administraciones?

Vemos cada vez más ataques a la industria. Este sector sigue conviviendo con entornos más propensos a que el ramsomware entre de manera sencilla. Además, no hay una preparación previa, como han hecho otros sectores, y sus sistemas son más obsoletos. Ahora está todo conectado y, antes o después, una máquina acaba siendo afectada. En la industria, el atacante, con poco, consigue mucho. Ellos buscan un mayor rédito económico, y para atacar a un banco necesitan más tiempo y más recursos. Aunque la empresa atacada solo tenga el tamaño de una pyme, al mismo tiempo es proveedor de otra empresa más grande y, si la organización quiere infiltrarse en esta última, lo haría por la pequeña, que es el eslabón más débil. Muchas veces las empresas pequeñas, el pez pequeño, son el objetivo de un ataque a sus sistemas informáticos porque posteriormente dan acceso a un pez mayor. 

¿Cuál es el perfil de estas bandas criminales?

Por una parte, están las patrocinadas por los Estados y, por otro, las que cuentan con una estructura pero sin el apoyo económico de un país. Las primeras son capaces de invertir millones de euros en un ataque, y ante eso es muy importante el tiempo de preparación y la inversión preventiva. No obstante, ni nosotros, ni ninguna otra empresa de ciberseguridad va a poder igualar sobre la mesa los recursos financieros que pone un Estado. Cuando una banda cibercriminal actúa apoyada por un Estado tiene mucha preparación detrás y elige muy bien el blanco que va a atacar. Un país nunca va a aparecer públicamente asumiendo su responsabilidad. Hay muchas operaciones en las que se ha visto esa conexión por las herramientas que se han empleado y la financiación de la que han dispuesto, pero no hay información tangible para poder probarla. 

¿Quienes componen estas organizaciones?

Olvidémonos de la típica imagen de las películas, con una banda de niños en un sótano con ordenadores. Estas ciberbandas tienen una gran estructura, con una división de trabajo y están muy jerarquizadas, ya que por una parte están quienes dirigen la explotación del negocio y por otra quienes ejecutan los ataques. Por lo general, son grupos que están compuestas por gente joven, pero que cuentan con gran conocimiento y experiencia.

¿Han aumentado los ataques desde que empezó la invasión rusa a Ucrania y la guerra en este país?

Sí, en los últimos meses se han conocido ataques a empresas por un grupo de ciberdelincuentes que se cree patrocinado por el Kremlin y sobre empresas en las que existe una relación con Rusia o Ucrania. También se sabe que hay grupos de ‘hackers’ anónimos entrando en los sistemas informáticos del Kremlin. Hay una ciberguerra cotidiana detrás de lo que vemos en las noticias, que mueve gran actividad y de la que muchas veces no somos plenamente conscientes.

¿Tienen capacidad para desarrollar algo más que un ataque de carácter económico?

Sí, son especialistas en golpear allí donde más le duele a un país. Son bandas que tienen capacidad para dañar infraestructuras críticas de un Estado. Pueden lograr que el sistema de control de un aeropuerto deje de funcionar o que los ferrocarriles no puedan arrancar. Por eso es importante que haya un conocimiento específico de los distintos sistemas industriales, que por lo general necesitan una inversión económica muy grande.

¿Qué hacer para mejorar la ciberseguridad a nivel empresarial?

Cuando contactas con las empresas por vez primera y hablas con ellas todas te comentan que tienen un plan contra incidentes de esta clase. Pero, en muchas ocasiones, es un plan de carácter poco práctico para evitar estos ataques. Al responsable de seguridad de la empresa le piden respuesta ante cualquier tipo de incidente, pero por lo general le faltan herramientas específicas para prevenirlos. Necesitan presupuesto, formación especializada, recursos humanos, proveedores, etc.