Hace muy pocos días el grupo LockBit afirmaba haber hackeado la Reserva Federal estadounidense y amenazaba con liberar 33 terabytes de "jugosa información bancaria" si no recibían antes el pago correspondiente. El plazo se cumplió y parte de la información fue publicada. Finalmente, los datos indican que la organización atacada no es la Reserva Federal, sino "Evolve Bank and Trust", una entidad bancaria con sede en Arkansas.
Iba a añadir ‘afortunadamente’, porque un ataque a la Reserva Federal hubiera tenido enormes implicaciones a nivel internacional, dado que cualquier interrupción en su funcionamiento puede tener impacto en la economía mundial, así que, en este caso, casi tendríamos que alegrarnos de que el objetivo haya sido otro. Pero no es así. Cualquier ataque con éxito a una entidad financiera es un fracaso y siempre es objeto de honda preocupación. En cualquier caso, se demuestra que nadie está excluido de recibir un ciberataque y, que a pesar de las medidas y controles que se establezcan (y en el caso de las entidades bancarias no son pocos), si estás en el punto de mira de un APT como LockBit tienes que hacer las cosas muy bien de manera constante
Lo de LockBit, además, es un caso llamativo. Desde hace más de un año mantiene un pulso permanente con las agencias de ciberseguridad americanas, especialmente el FBI, y, a pesar de haber sido desmantelada su infraestructura, no se ha conseguido terminar con la organización. Es más, su actividad se ha incrementado y se estima que son los responsables del 37% de todos los incidentes de ransomware en lo que llevamos de añoy se estima que son los responsables del 37% de todos los incidentes de ransomware en lo que llevamos de año. Así las cosas, LockBit ha demostrado capacidad de resiliencia y una chulería sin precedentes, retando en sus comunicados a las organizaciones que luchan contra el cibercrimen y haciéndoles frente.
Este panorama al otro lado del Atlántico no es muy diferente del que tenemos aquí en España y es que 2024 no está siendo buen año. En las últimas semanas hemos sido testigos de casos de grandes empresas que pese al esfuerzo que realizan en y ciberseguridad, han sido objetivos de gravísimos ataques, con el problema añadido de que los datos obtenidos por los atacantes servirán como punto de partida para nuevos ataques y estafas.
Todo indica que somos incapaces de parar los pies a los ciberataques y encima no parece que seamos demasiado conscientes de la situación. Los grupos de cibercriminales son cada vez más activos, despliegan mejores tecnologías, muestran un mejor desempeño y sus operaciones no dejan de incrementarse. Siguen al alza los casos de ransomware, los ataques al correo empresarial (Business Email Compromise o BEC) y en el origen de muchos de ellos aparecen dos constantes: el empleo de credenciales robadas y los ataques a la cadena de suministro. Y estos dos aspectos son clave.
De poco sirven los esfuerzos de las organizaciones y de los departamentos de TI y de ciberseguridad, si los atacantes disponen de credenciales válidas para acceder a los sistemas. En las próximas semanas, de hecho, ya está ocurriendo, podremos ver un incremento notable de ataques de phishing muy dirigidos y muy bien hechos, que serán muy creíbles, debido a la cantidad y calidad de los datos que los atacantes tienen de nosotros.
Otro tanto ocurre con nuestras cadenas de suministro. Es normal que las empresas dediquen todos sus esfuerzos a sacar adelante la actividad principal de su negocio y subcontraten con un tercero aquellas tareas que las distraen de ese propósito. Pero si los terceros a los que encargamos la gestión de algún proceso de negocio no disponen de una postura de seguridad similar a la nuestra, quedamos inermes y desarmados frente a ellos.
Lamentablemente, estos no son los únicos problemas, hay muchos más. Así que, para hacer frente a estos retos, en las empresas se requiere la definición y puesta en marcha de una estrategia de seguridad que combine múltiples acciones. Ese camino solo se puede iniciar desde la Dirección. La realidad es que las empresas deberían analizar los riesgos a los que están sometidas, y de hecho así lo hacen, pero por alguna razón que no llego a entender, la valoración de un ciberataque no termina de ocupar el puesto que le corresponde en la matriz de riesgos, no solo por la alta probabilidad de que ocurra, sino por el impacto que ocasiona. ¿Son conscientes los directivos, de que un 60% de las empresas atacadas con un ransomware no vuelven a la actividad? ¿De verdad merece la pena jugársela con la empresa que tanto les ha costado levantar?
Hay otra realidad y es que España es un país de autónomos y de pequeñas empresas, que carecen de los recursos necesarios para implementar todas medidas de seguridad avanzadas y que desgraciadamente son las mismas que despliega una empresa mediana o grande. Ellos son los que más han sufrido el aumento de ciberataques en los últimos tiempos.
Por eso para mí es completamente obvio que las empresas deben cambiar la cultura de ciberseguridad, invertir en formación y concienciación de sus empleados, analizar sus procesos, redefinir sus operaciones, desarrollar capacidades de detección y respuesta manteniendo la protección y resiliencia de sus activos; y deben seleccionar las tecnologías de ciberseguridad que mejor se adapten a su negocio con un objetivo que es siempre el mismo: minimizar el riesgo hasta dejarlo en niveles aceptables para el negocio. Contar con un aliado tecnológico de máxima confianza, será también clave en este proceso
Y digo proceso, porque la ciberseguridad es un proceso continuo que no se detiene. No existe una solución mágica y definitiva. Lo que es bueno para unos, puede no ser adecuado para otros y lo que es bueno hoy, quizá no lo sea mañana. La evolución constante de la tecnología y de las amenazas, obliga a estar en alerta permanente y solo a través de la mejora continua y la colaboración estrecha podremos enfrentar los desafíos cibernéticos del presente y del futuro. Prestémosle la atención que se merece.