El lucrativo negocio del robo de datos a grandes empresas: extorsiones y crisis de reputación

Los ciberataques se han convertido en un negocio muy rentable. En 2023, se estima que este tipo de delitos informáticos movieron el equivalente al PIB de la tercera potencia económica mundial, según el último informe 'Internet Crime Report' del FBI. De hecho, en España se documentaron el pasado año por parte de INCIBE-CERT 26.431 vulnerabilidades, un 20% más que en 2021. 

Las últimas víctimas de estos ataques han sido grandes empresas, como el Banco Santander, Telefónica o Iberdrola, que admitió el pasado 29 de mayo que los datos de contacto de 850.000 clientes habían sido expuestos, es decir, robados. El número de estos sucesos aumenta cada año, en parte, gracias a las nuevas tecnologías, incluida la Inteligencia Artificial (IA). "Los ataques son cada vez más sofisticados. Cada vez hay más equipos y ciberdelincuentes entrenados para ello. Además, la IA, como todo, puede usarse para el bien o para el mal, y resulta ser una herramienta útil para estos delitos", explica Germán Sánchez, consultor en Ciberseguridad en la consultoría zaragozana especializada en ciberseguridad INFORGES.

Dado que empresas como las anteriores trabajan con millones de datos personales de sus clientes, la inversión en medidas de seguridad es alta, pero eso no implica, necesariamente, que estén a salvo. "Nunca se puede estar 100% seguro, pero hay medios que se pueden aplicar y que ayudan", apunta el experto. Los cortafuegos, antivirus, sistemas EDR de respuesta autónoma, etc. Hay multitud de herramientas diseñadas para dificultar el acceso de los ciberdelincuentes a las bases de datos. 

"Es muy importante, por ejemplo, tener un 'backup' -copia de seguridad- inmutable, es decir, una copia que no pueda modificarse. De esta forma, cuando acceden a los datos, lo que buscan es contaminar todas las bases existentes, pero con esta no pueden", expone Sánchez, a la vez que añade: "Un plan de contingencia también es esencial. En caso de crisis debe ayudar a la empresa a ver qué es lo que ha pasado y cómo se puede volver a la normalidad lo antes posible y con garantías. Eso se logra con una copia en un servidor 'cloud', que replica cada poco tiempo el sistema original". Eso permite que en caso de un ataque, la empresa pueda seguir trabajando de inmediato. 

Las auditorias periódicas son otro recurso clave, como asegura el consultor de INFORGES: "Hacemos un 'phishing' simulado a los empleados de una empresa para ver si pican y caen en los enlaces. Si eso sucede, les damos pequeñas píldoras de ciberseguridad para que sepan discernir un correo con 'malware' de uno sin él". Este es el servicio más demandado de esta empresa zaragozana, que cuenta también con un equipo de respuesta rápida, que se traslada de forma automática a la empresa que ha sufrido un ataque para evaluar los daños, ayudar a recuperar la normalidad e impedir que esa amenaza se repita. 

Extorsión y crisis reputacional 

La rentabilidad de los datos robados puede verse en las cantidades millonarias que piden los 'hackers' a las empresas para no sacarlos a la luz. "Ese es el valor real. Las pequeñas extorsiones que hacen a nivel individual, como cargos en una tarjeta o peticiones de préstamos, son mínimas en comparación con los rescates que piden a las grandes corporaciones", apunta Fernando Tricas, profesor del Departamento de Ciberseguridad de la Universidad de Zaragoza. 

Tricas apunta también a las crisis de reputación como una de las grandes armas de estos ladrones digitales: "El problema muchas veces es que no puedes evitar que te roben los datos y ese es un daño fuerte para la empresa". 

En el caso de los últimos robos de datos, los ataques se han centrado en una entidad que da soporte a otras para guardar y gestionar sus datos. De esta forma, con un ataque consiguen una gran cantidad de información. 

Compartimentar, tener varios correos y tarjetas prepago

Las empresas son las que sufren los ciberataques y las que ven comprometida su seguridad, pero las víctimas últimas son los clientes o usuarios, que ven como sus datos personales están en manos de terceros sin poder hacer nada para evitarlo o para recuperarlos. 

"Desde el punto de vista de las empresas, una de las cosas que deben hacer es limitar los datos solicitados en sus formularios a aquellos que realmente necesitan para cumplir con su servicio. Muchas veces, nos piden nuestra dirección postal sin necesidad, ya que su función nunca va a estar relacionada con nuestro hogar, por ejemplo", señala el profesor. 

Por eso, es importante que las organizaciones compartimenten los datos por categorías, de tal modo, que el número de móvil nunca esté en la misma base de datos que el número de la tarjeta de crédito de los clientes. "Es una forma sencilla de reducir riesgos", confirma. 

Eso en cuanto a las empresas, pero los usuarios también tienen herramientas para asegurar su información personal, aunque en la mayoría de los casos son acciones que deben realizarse antes del ataque. "Si nos piden, por ejemplo, nuestra dirección y no es necesaria, podemos poner la del trabajo, que siempre es más segura y pública. También es conveniente tener una cuenta de correo secundaria para suscripciones a determinadas webs o servicios. Lo mismo ocurre con la tarjeta de crédito. Es muy recomendable tener una tarjeta solo para transacciones online, como las que pueden activarse y desactivarse, las prepago, etc.", concluye el experto en ciberseguridad. 

De esta forma, tanto empresas como usuarios tienen en sus manos el poder de poner trabas al trabajo de los ciberdelincuentes, aunque estos también puedan salirse con la suya.