Solo hay un motivo por el que los ciberamigos de lo ajeno atacan a las empresas: el dinero. El móvil económico hace que sus objetivos más deseados sean corporaciones con grandes beneficios y renombre internacional. El modus operandi suele ser el mismo, infectan los equipos, roban datos y piden un rescate por ellos. Si no se realiza el pago, publican la brecha en la deep web o Internet profunda, allí donde los delincuentes hacen sus negocios, con el fin de aumentar el nivel de presión. Si finalmente no se abona el rescate, venden la información a terceros.
Los operadores críticos, los de servicios esenciales y los de digitales tienen la obligación de poner los ciberataques sufridos en conocimiento del Instituto Nacional de Ciberseguridad (INCIBE). En el caso del robo de información sensible, deben comunicarlo también a la Agencia Española de Protección de Datos (AEPD), ente encargado de que se cumpla en España el Reglamento General de Protección de Datos (RGPD), directiva comunitaria que vela por el buen tratamiento de la información de los ciudadanos de la Unión Europea (UE). Al margen de esto, los expertos recomiendan denunciar cualquier ciberataque ante el Grupo de Delitos Telemáticos de la Guardia Civil o la Brigada de Investigación Tecnológica de la Policía.
Sin embargo, varias empresas de ciberseguridad consultadas por este diario que trabajan con los grandes del Ibex 35 tienen serias sospechas de que se informe en tiempo y forma de ciberataques, especialmente aquellos que implican el robo de datos. De hecho, varios portavoces de estas empresas aseguran a este diario que es algo que se ha producido en el caso de incidentes recientes con sustracción de datos. Por su relación con estas compañías del Ibex, prefieren mantenerse en el anonimato.
"Es hasta cierto punto normal que traten de ocultarlo. El impacto en bolsa si se airean este tipo de informaciones es claro, lo que acarrea también una caída en su reputación, algo que tiene impacto directo en la cifra de negocio", explican a este diario, y apuntan que "es algo que va a seguir sucediendo porque hablamos de algo muy específico y a lo que el personal de otros departamentos de las empresas no tienen acceso, por no hablar de que cada vez los ciberatacantes son más silenciosos en sus operaciones". Por último, estas mismas fuentes aseguran que, en ocasiones, "las grandes empresas y organismos públicos prefieren pagar el rescate y mantener todo en secreto".
Una circunstancia que puede implicar sanciones, tal y como refleja el RGPD. De no poner en conocimiento de las autoridades los incidentes cibernéticos, las empresas se arriesgan a recibir multas de hasta 20.000.000 euros o hasta el 4% del volumen de negocio total anual del ejercicio financiero anterior.
Incidentes en el Ibex 35
En los últimos meses los ciberataques al Ibex 35 se han recrudecido. El pasado mes de mayo, un grupo de hackers dejaban al descubierto los datos de 850.000 clientes de Iberdrola, 600.000 eléctricos y otros 250.000 del comercializador de último recurso del grupo, Curenergía. Ese mismo mes Banco Santander reconocía el acceso ilegal a sus sistemas. "Grupo Santander ha tenido recientemente conocimiento de un acceso no autorizado a una base de datos de la entidad alojada en un proveedor. El banco implementó de inmediato medidas para gestionar el incidente, como el bloqueo del acceso a la base de datos y un refuerzo de la prevención contra el fraude para proteger a los clientes", informaba la entidad financiera entonces en un comunicado, en el que añadía que "tras la investigación llevada a cabo, podemos confirmar que se ha accedido a información de clientes de Santander Chile, España y Uruguay, y de todos los empleados y algunos exempleados del grupo. En el resto de mercados y negocios de la entidad no hay datos de clientes afectados".
Por otra parte, hace unas semanas era Telefónica quien padecía un incidente de ciberseguridad. Fortinet, proveedor de la compañía, sufrió un problema que afectó a los sistemas de la corporación. Fortinet se dedica al desarrollo y la comercialización de programas informáticos, dispositivos y servicios de ciberseguridad: firewalls, antivirus, prevención de intrusiones... Desde el operador declinaron hacer declaraciones a preguntas de este medio, más allá de manifestar que no se había producido el robo de datos.
En el horizonte más cercano, concretamente hace solo unos días, se produjo un ciberataque a una gran empresa pública, pero no por ellos un objetivo menos suculento para los ciberdelincuentes. El grupo informático Trinity publicaba un anuncio en un foro de venta ilegal de datos en el que aseguraba que había logrado sustraer 560 GB de información sensible de las bases de datos de la Agencia Tributaria. Los hackers pudieron permanecer meses en los sistemas de este organismo, que ha manifestado no haber detectado ninguna evidencia de que se haya producido el robo de información.