Marc Rivero López

Especialista en ciberinteligencia y análisis de amenazas en Kaspersky

«El 99% de empresas ya han sido hackeadas y el 1% aún no lo sabe»

La ciberseguridad es una prioridad cada vez más importante para compañías de todos los sectores. De hecho, según el último Eset Threat Report, los ramsonware (ataques que buscan robar datos) han aumentado un 15% durante el primer semestre del año, y ha tenido una especial predisposición hacia las pequeñas y medianas empresas. Este escenario es en el que trabajan expertos como Marc Rivero López, especialista en análisis de amenazas e investigador principal de seguridad en Kaspersky, que acudió al congreso de ciberseguridad industrial –IndustrySec– organizado recientemente por Ziur y la Diputación de Gipuzkoa, donde dio la ponencia principal bajo el título 'La importancia de conocer a tu enemigo'.

– ¿Por qué importa conocer al enemigo?

– Es importante porque, en base a experiencias y acciones que ha realizado ese actor en el pasado, es más fácil conformar una estrategia de defensa futura. Sabiendo un poco lo que ha hecho y sabiendo quién es, podrás saber cómo se mueve, cómo actúa y cómo perpetua sus ataques.

–La diputada general ha dicho que existen dos tipos empresas: las que han sido ciberatacadas y las que lo serán, ¿está de acuerdo?

– Yo comparto esa información y además te doy otra: el 99% de empresas ya han sido hackeadas y simplemente el 1% aún no lo sabe. Hoy en día todo el mundo es susceptible a una brecha de seguridad.

– ¿Qué son los ransomware y por qué se fijan en las pymes?

– El ransomware es un código malicioso cuyo objetivo es cifrar los datos de la máquina y dejarlos sin acceso. No es que el ransomware ataque más a la pyme por algún motivo en especial. Lo que realmente hacen dejándolas sin recursos es forzar el pago. Es decir, si yo dejo a una pyme inoperativa, porque teóricamente tiene pocos recursos para poder invertir en ciberseguridad ya que no es su nicho de negocio, el dolor de cabeza para quitárselo sería pagar rápido y olvidarse del tema. Es un sector muy lucrativo para ellos porque saben que es dinero fácil y rápido. Cuando un negocio de este tipo, que es un ente vivo –necesita moverse para poder facturar y poder operar–, se queda pararado, es cuando la matan.

– ¿Qué es necesario para hacer frente a esta situación?

– Colaboración e inversión. La colaboración se debe basar en compartir. Cualquier tipo de compartición va a ser buena, ya sea ofreciendo indicadores de compromiso, tácticas y procedimientos, o reuniendo conocimientos sobre adversarios que están tocando tu puerta. Hace falta más dinero y, sobre todo, invertir en inteligencia.

– ¿Por qué es importante apostar por la inteligencia?

– Es lo que le va a valer al empresario a tomar acción y estrategia en su organización. Si yo sé que el atacante va a aprovechar ciertos fallos, me encargo de vehicular la estrategia de defensa en esa línea. El tener inteligencia y el poder explotarla es lo que ayuda a ser más resilientes. Lo que determinará que, cuando hay una brecha, la empresa sea capaz de poder recuperarse lo más rápido posible. Y la diferencia entre los que lo hacen y los que no es notable: quien no lo haga, seguramente cerrará.

– ¿Qué disciplinas hay en la ciberseguridad?

– Son tres: la táctica, la operativa y la estratégica. La operativa se basa en poder hacer acciones inmediatas, como bloquear una IP maliciosa. La táctica sirve para organizar los recursos y dar respuesta a la amenaza. Y en la estratégica me encargo de ver cuáles son los actores y las amenazas que me van a poder afectar.

– ¿Cómo se encuentra el sector industrial estatal?

– Es un sector que realmente puede ser muy lucrativo para los atacantes. Ya se están fijando en él y ya hay campañas específicas y actores que solo atacan los sectores de industria. Entonces es algo que realmente está en boga.

– ¿Cuáles son las motivaciones para atacar a una empresa?

– La motivación económica es clara. Cifrando con un ransomware los datos de una organización, la están forzando a pagar un rescate para recuperar el acceso a esos archivos. Cuando esa empresa se infecta con un troyano que roba sus credenciales –usuario y contraseña–, esas claves se venden después a un tercero que ya tiene un método de entrada garantizado. Además, todas las credenciales no valen lo mismo. Si conseguimos acceso a un hospital, será mucho más lucrativo que a una empresa de zapatos de barrio, por ejemplo.

–¿Qué tipo de infraestructuras en España son las más críticas?

– Las organizaciones que tienen infraestructuras críticas son todas aquellas que sirven a la sociedad, como lo puede ser un hospital o un centro nuclear. Estos negocios son los que realmente hay que proteger: si haces que caiga la red de hospitales, puede morir gente. Ese tipo de infraestructuras tienen que tener una dotación especial de seguridad y de requerimientos para protegerlas.

– ¿Cuáles son las amenazas emergentes?

– Una clara es todo lo relacionado con la computación cuántica. Vienen a romper todos los algoritmos de cifrado resistentes hasta la fecha que confiamos en que a nivel de computación no va a ser posible romperlo. También está todo relacionado con Inteligencia Artificial, deepfakes, desinformación...