Iberdrola advertía este jueves 31 de marzo del robo informático de datos personales de 1,3 millones de clientes. El ciberataque se hacía público la misma semana que el Grupo Villar Mir advertía a sus empleados de un bombardeo informático desde Rusia y después de que el CNI alertará a las empresas de inminentes ataques contra objetivos españoles críticos. ¿Es esta la ciberguerra global que se esperaba tras la invasión militar en Ucrania?

La idea de una escalada en todo el mundo de los ataques informáticos como respuesta rusa por el apoyo internacional a Ucrania se mantiene desde el comienzo del conflicto. La Casa Blanca y expertos en ciberseguridad advierten del riesgo, al mismo tiempo que se conocen nuevos casos de hackeos a grandes y pequeñas organizaciones, por lo que surge la duda de si se trata de una nueva fase de la guerra o si bien se trata de la habitual actividad de los piratas informáticos.

Para Josep Albors, director de investigación y concienciación de ESET España, está claro que la mayoría de ataques siguen siendo parte de la normalidad delictiva a la que les tienen acostumbrados los hackers, aunque no hay que bajar la guardia. "Ataques destructivos estamos viendo en Ucrania, pero en España, de momento, vemos los habituales que se producen como antes de la guerra" explica en una entrevista a EL ESPAÑOL-Omicrono.

Por su parte desde Bitdefender, Bogdan Botezatu, director de Investigación e Informes de Amenazas también explica a este periódico que "el número de ciberataques se encuentra dentro de los límites anteriores" al conflicto, aunque en otros países como Rumania "hemos visto aumentos de ciberataques rusos de más del 100%". Eso sí, sí se ve un incremento de las amenazas que usan el contexto de la guerra para sacar beneficio.

No es ciberguerra

El ataque a Iberdrola se producía el pasado 15 de marzo, en concreto en la distribuidora I-DE Redes Eléctricas Inteligentes, cinco días después de que el CNI atribuyera a Rusia ciberataques diarios "de peligrosidad muy alta" contra España. La empresa ahora hace público el suceso para avisar a sus clientes afectados por el robo masivo de datos personales: DNI, número de teléfono, correos electrónicos, aunque no datos bancarios o de consumo. La filtración no ha sido mayor, gracias a que EEUU advirtió a la compañía y pudieron bloquear parte de la ofensiva.

Este caso es muy similar a los que se dan habitualmente, "lo que vemos en España principalmente son ataques a pymes que buscan robarles información, credenciales que tengan guardadas y después las utilizan para otros ataques", explica Albors. Fines económicos muy diferentes a los objetivos destructivos que persiguen los ataques de ciberguerra o ciberterrorismo que sí se han detectado en Ucrania, como el sufrido por el mayor proveedor de internet que tuvo sin conexión durante horas a gran parte del país invadido a principios de semana. Lo cierto es que los ataques que se consideran como ciberguerra van más enfocados a crear el caos cortando servicios esenciales.

Iberdrola no ha informado del origen del ataque; suele ser complicado determinar la procedencia de estos robos en ciberseguridad y si fuera posible, las investigaciones tardan más tiempo en encontrarlo. Aún así, la compañía lo relaciona con una campaña de ciberataques que también han afectado a otras empresas, incluso a instituciones públicas españolas y europeas, como el Congreso de los Diputados.

En el Congreso pedían a principios de marzo a diputados y funcionarios que extremen la precaución tras el inicio del conflicto en Ucrania y el 24 de marzo sufría un ataque de denegación de servicio (DDoS) que hacía caer su web. Este tipo de hackeos consiste en mandar una cantidad ingente de información para saturar el ancho de banda de un servidor y así dejarlo inutilizado, pero las fuentes suelen ser tan amplias que es muy complicado encontrar el origen real del bombardeo digital.

"En este caso no sabemos todavía quién está detrás" dice Albors. "Puede haber sido desde un grupo de amigos con los conocimientos adecuados o hasta una nación Estado. Además, pueden venir de todas partes del mundo porque son máquinas que han sido previamente comprometidas, no necesariamente ordenadores. Lo que estamos viendo es que son, por ejemplo router, cámaras IP, equipos domésticos que se conectan y hacen estas peticiones múltiples para bloquear la página".

No obstante, otras empresas sí señalan claramente a Rusia, el Grupo Villar Mir en un comunicado a sus empleados pide precaución, aseguran sufrir "más ataques informáticos que nunca" y "muchos son ciberataques desde Rusia". Advertencia que encaja con la publicada en el informe del CNI y que los expertos en ciberseguridad ven necesario tomar en serio: "varias bandas de ransomware que operan desde Rusia han prometido ayudar al Kremlin. Según sus declaraciones, buscarán infraestructura y negocios en los países de la UE y la OTAN como represalia por su oferta de ayuda a Ucrania"dice Botezatu.

"España lo ha hecho muy bien"

Para Albors, estos avisos y ataques no son nuevos "siempre los ha habido desde Rusia, así como desde Corea del Norte, China o países aliados como Estados Unidos, es lo normal. Pero estamos en una situación bastante especial, por desgracia, y hay que activar ciertas medidas de seguridad". Aparte del aviso, el Gobierno ha decidido acelerar la puesta en marcha de sus planes para garantizar un nivel adecuado de ciberseguridad en España, destinará 1.200 millones al nuevo Plan Nacional de Ciberseguridad.

"Lo han hecho muy bien" insiste el director de investigación de ESET, "esta advertencia debe servir para que las empresas se preparen no solamente ante posibles ataques que vengan desde Rusia con implicaciones relacionadas con la guerra, sino también contra los que son comunes todos los días y que aprovechan los ciberdelincuentes para acceder a una empresa y comprometer su formación y su seguridad", explica.

Los ataques, rusos o no, siguen basándose en los mismos mecanismos que se utilizaban antes de la guerra, como el phishing en el que España es uno de los primeros países del mundo que lo sufre. "El problema es que hasta ahora se había hecho poco y mal, sobre todo a nivel de pymes que suponen el tejido industrial de España. Entonces hay que aplicar toda una serie de políticas que deberíamos haber aplicado no hace un o dos años, sino hace diez".

Bogdan Botezatu pone enfasis en la necesidad de "realizar auditorías periódicas a gran escala para detectar puntos ciegos y errores de configuración, particularmente ahora que más empresas han abierto el acceso externo para acomodar a la fuerza laboral remota tras la pandemia".

El phishing, muy activo

Los expertos priorizan medidas que permitan detectar y reaccionar rápido a los ataques, pues se debe asumir que en algún momento se va a ser víctima de uno. Aún así, el caso de Iberdrola vuelve a poner de manifiesto la importancia para reforzar la protección mediante la concienciación de los usuarios, quienes se enfrentan cada día a correos, SMS o llamadas que tratan de estafarles y en este sentido sí se ha notado un incremento en el número de hackeos relacionados con la guerra: "en especial en el phishing entre todos los países de la UE, ya que los ciberdelincuentes comerciales intentan estafar a las víctimas desprevenidas en esquemas de donaciones falsas" explican en Bitdefender.

Los 1,3 millones de datos robados a Iberdrola servirán ahora para lanzar nuevas campañas contra los usuarios de esos teléfonos y correos. Tanto el aviso de la compañía como el INCIBE se enfocan en aconsejar a los clientes medidas de precaución, estar alerta ante mensajes sospechosos y no usar los enlaces o archivos que incluyen estos spam. 

Incluso se aconseja a los usuarios de internet que consulten en el buscador su nombre y otros datos en busca de información personal que se haya publicado en plataformas sin su consentimiento, lo que se conoce como egosurfing. En cuyo caso, se puede denunciar como explica la Agencia Española de Protección de Datos y ejercer su derecho a solicitar que sean borrados.

La gran ciberguerra a nivel global aún es solo un concepto, pero basta como advertencia para que se aceleren los proyectos de seguridad digital y se mire con más atención el tráfico habitual de cibercrímenes. No está claro cómo se desarrollarán los próximos meses en lo que respecta a los ataques informáticos, salvo que se seguirán produciendo.

También le puede interesar...

• Ucrania estaría preparándose para mover sus datos sensibles a otro país para evitar hackeos
• La guerrilla digital de Ucrania: hackers llaman por teléfono a ciudadanos rusos para pedir su apoyo
• La otra guerra de Putin: así puede sembrar el caos en el mundo mediante ciberataques