Los ataques informáticos han crecido un 125% en España y se estima que recibimos 40.000 ciberataques diarios, según Datos101.
Estos son los siete ciberataques que despertaron todas las alertas a lo largo de 2021
Aunque este tipo de ataques se ha generalizado, no todos los países tienen el mismo nivel de riesgo de sufrir una brecha de seguridad
|
01/12/2021 06:48
|
Actualizado: 01/12/2021 02:04
|
El tránsito a un modelo híbrido digital por parte de las empresas ha provocado que la eficiencia de sus sistemas de seguridad se haya visto perjudicada.
Los intentos por parte de los ciberdelincuentes de robar datos e información confidencial de grandes empresas han aumentado un 93% a nivel global con respecto a 2020, según el informe Cyber Attack Trends: 2021 Mid-Year Report.
Aunque este tipo de ataques se ha generalizado, no todos los países tienen el mismo nivel de riesgo de sufrir una brecha de seguridad. De acuerdo con el último informe presentado por la escuela de negocios Ironhack, Estados Unidos se encuentra en primera posición con 100 puntos en riesgo de amenaza, seguido de Alemania (31.6 puntos) y España, que ocupa la tercera posición en el ranking con 30.2 puntos.
De hecho, en nuestro país los ataques informáticos han crecido un 125% y se estima que recibimos 40.000 ciberataques diarios, según Datos101.
El hackeo se ha convertido en un negocio rentable, como refleja un análisis de Palo Alto Networks que revela que la cifra media de rescate ronda los 4,7 millones de euros, un aumento del 518% con respecto a lo que pedían en 2020, unos 432 mil euros.
Una entidad del prestigio de Ironhack ha elaborado una radiografía con los 7 ciberataques con mayor impacto de 2021 (por número de afectados, relevancia o coste) que han puesto en jaque a grandes empresas e instituciones públicas.
1. Los servidores de Microsoft
La primera vez que se reconoció el ataque a los servidores de correo de Microsoft fue en el mes de enero. Este hackeo alertó a miles empresas y afectó a más de 250.000 servidores en todo el mundo.
Las especulaciones sobre quién estaba detrás estuvieron varios meses por el aire, pero el pasado mes de julio Estados Unidos, la Unión Europea y varios países aliados de la OTAN acusaron de manera rotunda a China como artífice del ataque.
2. La fuga de datos de Facebook
En marzo de 2021, los datos de un total de 533 millones de usuarios, que incluían números de teléfono, nombres completos, ubicaciones y fechas de nacimiento, fueron compartidos y expuestos dentro de Surface Web, localizable con un motor de búsqueda normal.
Solo en España, 11 millones de cuentas se vieron afectadas por esta brecha de seguridad, según un análisis llevado a cabo por Business Insider cotejando información en webs y Telegram.
3. El ataque al SEPE
También en el mes de marzo, el servicio informático del Servicio Público de Empleo Estatal (SEPE) fue infectado con un ‘ransomware’ que tenía la capacidad de filtrar archivos y bloquear ordenadores.
El ataque llegó a paralizar más de 700 oficinas, paralizando 200.000 citas, e hizo peligrar el sistema de pagos de prestaciones de desempleo debido a que los empleados estatales no pudieron utilizar sus ordenadores.
4. Colonial Pipeline
En mayo de 2021 en Estados Unidos, un grupo de hackers llamadas DarkSide, obligó a detener los envíos de la mayor red de oleoductos del país perjudicando el suministro.
El 60% de las gasolineras de Atlanta, el 65% de las de Carolina del Norte y el 43% de las de Georgia se quedaron sin gasolina. El Gobierno tuvo que dar una orden de emergencia y Colonial Pipeline llegó a pagar casi 5 millones de euros para restablecer el funcionamiento correcto de sus operaciones.
5. Una actualización de TI Kaseya como excusa
El primer fin de semana de julio, más de 350 organizaciones a nivel mundial sufrieron un ataque de ‘ransomware’ a sus sistemas informáticos. Según la empresa ESET, alguna de ellas era una empresa española.
El ciberataque lo creó el conocido grupo REvil, y utilizó una actualización de la empresa de software de servicios de TI Kaseya para filtrar el ‘malware’. Los ciberdelincuentes de Revil publicaron que habían infectado más de un millón de dispositivos y pidieron alrededor de 62 millones de euros como rescate.
6. Ataque al Ministerio de Trabajo y Economía
En junio, solo tres meses después del ataque al SEPE, España volvía a estar contra las cuerdas poniendo de nuevo en evidencia sus sistemas de ciberseguridad.
Un total de 5.500 funcionarios no pudieron trabajar durante más de 15 días debido a la falta de medios propios y la dificultad para solucionarlo. En esta ocasión, el Ministerio recurrió a Fujitsu Technology Solutions S.A., adjudicándoles un contrato por un valor estimado de 145.893,33 euros.
7. Ataque a MediaMarkt
Coincidiendo con los preparativos del Black Friday, la multinacional alemana sufrió a comienzos del mes de noviembre un ciberataque que afectó a las tiendas que la compañía tiene en Holanda, Alemania, Bélgica y España. Según un correo interno que ha sido filtrado, este ataque habría afectado a más de 30.000 servidores Windows –por el momento– y se estima que el rescate pedido supere los 213 millones de euros.
Los ciberataques son más sofisticados
Alejandra Frías López, magistrada y exvocal del Consejo Nacional de Ciberseguridad, reconoce que “vivimos en un mundo cada vez más interconectado. Más de la mitad de la población mundial se encuentra hoy conectada, lo que evidentemente supone un incremento exponencial del riesgo de sufrir ciberataques”.
Para esta experta, “los ciberataques señalados son muy relevantes. Lamentablemente no dejamos de recibir ciberataques”.
“Solo este mes de noviembre podemos citar incidentes como el bloqueo, con impacto mundial, de vehículos Tesla que impedía desbloquear las puertas, indicando un error del servidor y una ubicación errónea del coche; el acceso irregular a los sistemas de Telefónica desde direcciones IP sospechosas, quedando comprometidos datos personales de clientes de Movistar y O2, -a excepción de datos de facturación, registro de llamadas y credenciales de acceso”.
También menciona el ataque al Banco Nacional de Pakistán (NBP, National Bank of Pakistan) que ha paralizado las operaciones de cajeros automáticos, la red interna y aplicaciones móviles; el mayor ataque de denegación de servicio distribuido (DDoS) sufrido hasta la fecha que se estima que fue lanzado desde 15000 bots, bloqueado afortunadamente por la empresa estadounidense Cloudflare.
Frías indica que “en el ámbito de la Unión Europea, a nivel regulatorio, han de ponerse en valor el Reglamento UE 2019/796 del Consejo, de 17 de mayo de 2019, de medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros y la Decisión PESC 2019/797, 17 mayo del Consejo relativa a medidas restrictivas contra los ciberataques que amenazan a la Unión o a sus Estamos Miembros”.
“A nivel interno podemos afirmar que la reacción de la Administración suele ser temprana y eficaz. Por ejemplo, los ciberataques al SEPE dieron lugar a la aprobación, sólo dos meses después, del Plan de Choque de Ciberseguridad en el marco de un nuevo paquete de medidas ante las ciberamenazas, como la puesta en marcha del proceso de modificación con carácter urgente del Esquema Nacional de Seguridad”, comenta.
Esta experta recuerda que “hay insistir en que resulta fundamental que los Estados inviertan en la educación digital de las personas menores de edad, en la formación de profesionales en ciberseguridad y en la sensibilización y concienciación de toda la sociedad en general de manera que puedan conocer los riesgos a los que nos enfrentamos”.
“No podemos olvidar que los ciberdelincuentes también invierten en esta formación, y cada vez más, incrementando con ello el riesgo que suponen para Estados, empresas y ciudadanos”.
“En este sentido, el Plan de Recuperación, Transformación y Resiliencia incluye el fortalecimiento de las capacidades de ciberseguridad de ciudadanos, pymes, empresas y profesionales para protegerlos de ciberamenazas”, señala.
Más normativa a cumplir
Por su parte, Francisco Pérez Bes, exsecretario General del Instituto Nacional de Ciberseguridad de España (INCIBE) y actual socio de Derecho Digital en Ecix Group, cree que “desde hace ya algún tiempo, se ha hecho evidente que los problemas de ciberseguridad son los problemas del ciberdelito y del cibercrimen».
“Aunque, curiosamente, las inversiones se han centrado en el refuerzo de las capacidades defensivas de las empresas e instituciones, sin que se vea reflejo de una inversión proporcional en la investigación o persecución de los delitos que se producen a través de la Red”,comenta.
Antes al contrario, los datos que se muestran en las estadísticas del Incibe-CERT o del CCN-CERT comparados con las memorias de Fiscalía, demuestran una situación de casi impunidad de este tipo de delitos, ya que a pesar de gran crecimiento de ataques, cada vez disminuye más su investigación.
Para este jurista como principales causas se encuentran “la falta de medios en las unidades especializadas de las fuerzas y cuerpos de seguridad del Estado, y el lento desarrollo de un sistema de inteligencia que permita procesar los datos necesarios para poder compartir información de valor entre administraciones y empresas”.
Subraya que “este año también ha servido para reforzar los procesos de notificación de incidentes y brechas de seguridad ante la Agencia Española de Protección de Datos, y para mejorar la experiencia de usuario con las herramientas de valoración de riesgos a disposición de las empresas”.
Pérez Bes advierte que “para el próximo año se espera la entrada en vigor de un gran volumen de normativa, que va a exigir mayores esfuerzos e inversiones a las empresas, especialmente del sector financiero, poniendo el foco en su gobernanza interna de la seguridad de la información”.
A su juicio, “en lo que respecta a la sensibilización de los empleados, puede ser el año de la consolidación de la formación online y la concienciación interna en ciberseguridad y protección de datos, así como la del control de las medidas de seguridad de proveedores y terceros (third party compliance)».
“También es probable que se avance rápido en la incorporación de la ciberseguridad en los sistemas de cumplimiento normativo de las empresas, en particular tras la posibilidad que prevé la directiva de whistleblowing de denunciar incidentes de ciberseguridad que pretendan ocultar las organizaciones que los sufren», indica.
Esta jurista cree que también “se espera un aumento de la responsabilidad legal de administradores y directivos derivada de la falta de diligencia a la hora de prever y evitar incidentes de seguridad, lo que puede acrecentarse con la aprobación de la norma que permita presentar demandas colectivas contra aquellas empresas que sufran brechas de seguridad que afecten a información personal, y exigirles indemnizaciones por los daños causados”.
Desde su punto de vista, “seremos testigos del incremento de los procesos de certificación, especialmente conforme a esquemas del tipo ISO o del Esquema Nacional de Seguridad, que también verá actualizado el Real Decreto que lo regula”.
Noticias Relacionadas:
