Ciberseguridad y el golpe de los 10.000 millones de dólares

10 de enero de 2024

La eterna lucha

La carrera entre el bien y el mal siempre comienza de la misma forma. El malo corre, porque lo necesita para existir, y hace alguna de las suyas, lo que provoca que el bueno empiece a correr tras él. En el mundo cibernético todo sigue igual.

Que el cibercrimen mueve montañas de dinero no es una novedad. Ni siquiera nos sorprendemos si leemos un informe del FBI en el que se indica que esas montañas pueden ser mayores de diez mil millones de dólares. Lo voy a poner en número, para que veamos la magnitud: 10.000.000.000 de dólares, 10 billones para un contable anglosajón.

Sin embargo, cuando se repasan ciertos estudios sobre el estado de la Ciberseguridad en empresas se detecta que hay más miedo a recibir un ciberataque que disposición al gasto para evitarlo. Aunque las cifras asusten, pueden ser confusas por aproximadas y porque nadie sabe qué parte de ese pastel de diez mil millones va a tener que pagar su empresa. Además, el dinero sólo es el vehículo para estandarizar pérdidas. Bajo el dinero subyacen daños morales, reputacionales, físicos, psicológicos…

¿Cómo podemos adelantar a los malos? ¿Cómo podemos anticipar el impacto de esta carrera en las empresas y en la sociedad?

Las motivaciones son lo importante, o no

Hoy en día contamos con muchas herramientas, muchas iniciativas, muchos paradigmas y diseños con la seguridad como base de su desarrollo… pero el malo siempre vuelve a correr… y a ganar. Volver a iniciar la carrera requiere de motivaciones sólidas:

Odio: el mal existe.
Venganza: típicamente un “insider”.
Dinero.
Más dinero.
Mucho más dinero (esta suele ser la más común).
Motivaciones políticas.
“Hacktivismo”, aunque si lo llamamos “ciberdelincuencia”, “espionaje” o “ciberterrorismo”, también acertamos.

En todo caso, sea cual sea la motivación, el impacto de un ciberataque en una empresa tiene un efecto sísmico. Se va propagando por toda la superficie de ésta, pudiendo llegar, incluso, a tener réplicas. Las consecuencias, por lo tanto, permanecen en el tiempo ¿Cuáles son?

Coste reputacional: Que tu negocio cese durante un tiempo indeterminado es duro, pero que tu negocio tarde en volver a cifras pre-ciberataque es más duro aún.
Coste material e inmaterial (personal, información, instalaciones…): Esto equivale a mucho dinero.

Víctimas potenciales (clientes, pacientes, daños colaterales): Las empresas no son seres. No son culpables, ni inocentes, ni víctimas, ni verdugos... Sin embargo, las personas que trabajan en ellas sí pueden ser las víctimas en este caso. Y sus clientes también. Las personas relacionadas con una entidad atacada pueden sufrir daños morales, perder privacidad, salud, dinero… Algunas de esas pérdidas no se pueden recuperar jamás. Ni con seguros ni con compensaciones.

⚠️ Los sentimientos y el daño físico o psicológico son más difíciles de medir, lo que provoca que se estandarice todo con el contante y sonante dinero, aunque debajo queden efectos sin cuantificar, pero muy reales.

El mundo IT

Las tecnologías de la información fueron las primeras afectadas por los peligros el mundo cibernético. También, tal vez, porque llegaron antes a probar las ventajas que un mundo conectado podía ofrecer. Vamos a imaginarnos alguna situación que tenga que ver con este ámbito.

Si una empresa, por ejemplo, del sector salud, sufre un ciberataque que alcanza a tods los datos de sus pacientes, pongamos, más de dos millones de personas, tenemos los siguientes números:

Número de víctimas: 2.000.000.
Coste reputacional: Altísimo y recurrente. No sólo es el titular. Cada día en el que una víctima se acuerde de lo que sucedió o sufra un problema por ello, volverá a perder su confianza en la entidad y a experimentar dolor de algún tipo lo que refuerza ese sentimiento negativo.
Coste material: del ataque, relativamente poco. Pero va a ser difícil mantener a los 28.000 empleados que tienes si el coste reputacional es alto y la gente deja de confiar en ti, por no hablar de multas y demás costes derivados de un ciberataque.
Ganancia para el atacante: según nuestros estudios, el tipo de información que se mueve en un hospital no bajaría de 50€. Haciendo cuentas… más de 100.000.000 €. No está mal para unos pocos días de trabajo.

¿Es mucho? ¿Hemos escogido un incidente concreto para que los números asusten?

Según varios medios especializados y empresas de ciberseguridad, el sector salud sufrió, cada semana, más de 1.400 ciberataques de media en 2022 (y en 2023 la cifra no va mejor). Otros medios indican que esta actividad ha derivado en 327 fugas de información y 40 millones de pacientes afectados por ellas.

La fuente es del propio sector: el Urology Times (muy fan del nombre). Una cuenta rápida nos lleva hasta los 2.000.000.000 € de beneficio de directo (y libre de impuestos, claro).

Es cierto que puede suceder que la información robada “sólo” sean nombres y apellidos, lo que conlleva un menor valor del botín, pero, seguramente, algo más habrá en un hospital. Y ni siquiera es el sector que más ataques recibe. El sector académico, donde se incluye la investigación, es el más interesante para los cibercriminales por lo lucrativo que es robar propiedad intelectual o que te paguen sólo por retrasar la investigación de otro (país, negocio, grupo de investigación, etc.).

El sector industrial, en terrible ascenso

El airgap queda ya muy atrás. Los protocolos, servicios y dispositivos “legacy”, no. Nuestros queridos malos han iniciado la carrera hace tiempo. Tras haber pasado unos años formándose y probando, el número de ataques se ha disparado. Nuestro sistema de captura y análisis de amenazas para entornos OT, Aristeo, capturó más de 300 millones de eventos contra su red en el primer semestre de 2023.

El número de dispositivos expuestos sigue aumentando y las vulnerabilidades detectadas y explotables siguen siendo “sencillas” de explotar. Implementamos medidas de seguridad, pero… “ellos” siempre nos adelantan.

Si nos fijamos en el sector de la automoción, puede que una empresa dedicada a la fabricación de automóviles pueda sufrir una fuga de datos, similar a las empresas del ámbito IT, o una parada en sus procesos… o ambos ¿Por qué no?

Si esto sucede ¿cuántos días dura el proceso de recuperación? ¿cuántos vehículos se pueden ver afectados? Un atacante que deje sin disponibilidad una sola máquina del proceso de fabricación en el sector de automoción puede generar a su víctima una pérdida de más de 20€ por minuto en esa máquina.

Otra cosa a tener en cuenta: hoy por hoy, la industria de fabricación en cadena suele tener material justo para continuar con sus procesos durante un día (no hay grandes almacenes con millones de piezas). La logística es más compleja que llamar para que te vengan a recoger o llevar un paquete. Estamos hablando de que un paro en una pequeña parte de la cadena perjudica gravemente al resto del proceso por detrás y por delante de éste.

⚠️ Recuperar una máquina de una parada por avería no es lo mismo que recuperarla tras un ciberataque. No suele ser tan sencillo como cambiar o arreglar la máquina, porque eso no soluciona la vulnerabilidad o vulnerabilidades subyacentes.

¿Y esto en dinero cuánto es?

Bien, la pregunta debería ser otra. ¿Es mejor pagar al atacante y asumir las pérdidas (seguramente millonarias) por el daño causado o es mejor invertir una cantidad más baja en medidas de ciberseguridad que minimicen el riesgo de sufrir algún contratiempo?

Detener la fabricación de 13.000 vehículos, parar varias plantas a nivel global, asumir multas y sobrecostes por detener la logística… todo eso termina siendo muchos más euros de lo que gastaría una empresa en ciberseguridad antes de sufrir un ciberataque. Porque después de un ciberataque, claro, lo va a gastar también.

La carrera no va a terminar. El cibercrimen es cada día más rentable y más seguro (para el atacante). Los datos están ahí.