Ha vuelto a pasar. Sin importar que en 2018 les robasen datos personales y bancarios de 489.000 clientes; sin importar que en 2021 la Agencia Española de Protección de datos les condenase a pagar 600.000 euros por no contar con las medidas de seguridad adecuadas y por tardar 41 días en notificar dicho ataque; sin importar, parece, las consecuencias, porque al fin y al cabo ellos pagan la multa y santas pascuas.
Sin importar nada de todo ello, la historia se repetía esta semana: Air Europa volvía a sufrir un ciberataque, esta vez centrado en el robo de datos financieros de naturaleza altamente sensible: los números, fechas de vencimiento y CVV de las tarjetas de crédito vinculadas a su pasarela de pago.
A la aerolínea no le quedó otra que contactar a los clientes potencialmente afectados para pedirles cancelar dichas tarjetas de inmediato, dada la posibilidad de que pudieran perder los ahorros de toda su vida, o al menos todo aquello que guardasen en la cuenta asociada.
Todo apunta -como dice Luis Corrons, de Avast- a que el modus operandi de los atacantes responde a lo que se conoce como formjacking. Es una forma de fraude online que consiste en infiltrar código malicioso en sitios web de comercio electrónico para robar datos de tarjetas de crédito de los clientes mientras realizan compras. "También puede ser que hayan atacado la conexión con la pasarela de pago", apunta el criptógrafo David Arroyo, investigador del Consejo Superior de Investigaciones Científicas (CSIC).
Los responsables de ciberseguridad de las empresas deben entender el incremento de riesgo de este tipo de ataques a las webs de compras en línea e implementar controles en sus propias plataformas, como señala Mònica Espinosa, directora del Centro de Innovación y Competencias de Ciberseguridad (CIC4Cyber) de la Agencia de Ciberseguridad de Cataluña.
"La mitigación de este tipo de ciberataques siempre debe de pasar por el cumplimiento normativo, cada vez más riguroso, en materia de cadena de suministro y estándares de gestión de pagos", añade Espinosa. Arroyo apunta que, a nivel técnico, la defensa frente a este tipo de ataque pasa, entre otros elementos, por tener buenos controles de detección basados en análisis de integridad del código web y de tráfico anómalo.
El criptógrafo señala que es imprescindible contar con un buen gabinete de crisis para informar de forma adecuada del incidente, y para minimizar la alarma entre los clientes y el consecuente coste reputacional.
"En este caso, la información llegó de forma abrupta, lo que entraña ciertas dudas sobre el alcance real del ataque", afirma.
Arroyo sugiere que los usuarios utilicen tarjetas de pago con CVV dinámico o, en su defecto, tarjetas de prepago que se recarguen únicamente cuando vayan a hacer una compra. Espinosa advierte, además, de que tras esta interceptación de datos se prevén campañas de phishing/smishing (suplantación de identidad online o vía SMS) en los próximos días.
En esas campañas -explica la experta- los cibercriminales se hacen pasar por trabajadores de la entidad bancaria para engañar al cliente diciendo que quieren evitar traspasos fraudulentos con las tarjetas robadas. Insiste en la importancia de no facilitar nunca información personal, pin, nombre o cualquier otro dato personal a través de teléfono, SMS o correo electrónico. Destaca, además, que solo hay que usar los canales oficiales, como la propia web o la aplicación del banco.
Esta misma recomendación es la que realiza el Instituto Nacional de Ciberseguridad (INCIBE), que además aconseja contactar con el banco en caso de detectar un uso no autorizado de la tarjeta afectada y recopilar evidencias del fraude para poder interponer una denuncia. INCIBE también explica cómo comprobar si más datos personales han sido expuestos, a través del egosurfing.
Desastres evitables
Es pronto aún para saber qué ha sucedido con certeza en este nuevo ciberataque contra Air Europa. El origen de la ofensiva se sitúa en Rusia y otros países próximos, y la compañía estima que podría haber afectado a unas 100.000 personas (informa El Confidencial).
Tampoco está claro si ha habido mala praxis, pero no sería el primer caso. En materia de ciberataques viene siendo costumbre revivir los mismos casos una y otra vez. Vemos, mes tras mes, año tras año, cómo suceden catástrofes evitables.
De hecho, los más graves ciberataques -empezando por WannaCry y el devastador NotPetya- han tenido como causa la dejadez ante vulnerabilidades conocidas y publicitadas. WannaCry aprovechaba un fallo de seguridad de Windows que afectaba a millones de personas. Lanzado en mayo de 2017, llegó a más de 150 países, con más de 360.000 dispositivos electrónicos bloqueados, más de 200.000 víctimas y pérdidas económicas de miles de millones de dólares.
Solo un mes después, cuando parecía que no podría suceder nada peor, entró en escena NotPetya: un programa malicioso que se abrió camino por todo el globo desde los ordenadores de multinacionales con sucursales locales en Ucrania. Se considera el ciberataque más caro de la historia: 10.000 millones de dólares. ¿Y saben qué? Utilizaba la misma vulnerabilidad de Windows que WannaCry. Si esta se hubiera arreglado a tiempo, se podría haber prevenido.
Por increíble que parezca, aún en 2019 había 1,7 millones de terminales expuestos por esta vulnerabilidad, a pesar de haber sufrido las consecuencias de dos devastadoras ciberofensivas dos años antes y a pesar de existir una solución contra los fallos de seguridad expuestos..
Otro caso paradigmático es el que afectó a Onity, la compañía cuyas cerraduras protegen más de cuatro millones de habitaciones de hotel en todo el mundo, en instalaciones de Hyatt, Marriot, InterContinental, Meliá, Husa o NH Hoteles. Una empresa, por cierto, de origen español: la antigua Talleres de Escoriaza (TESA Entry Systems), nacida en el País Vasco en 1941.
Pues bien, en 2012 alguien pirateó esas cerraduras para poder robar -como, de hecho sucedió- objetos de valor en todos esos hoteles alrededor del mundo. En este caso, los atacantes habían aprovechado una vulnerabilidad también conocida y denunciada por expertos en ciberseguridad meses atrás.
Gracias a ella, cualquier pirata informático podía construir, por menos de cincuenta euros, un dispositivo casero capaz de abrir en cuestión de segundos las habitaciones con la tecnología de Onity. Más de nueve meses después de que la empresa anunciara una solución para este fallo, los ladrones siguieron sirviéndose de él para robar por doquier sin apenas dejar rastro.
La negligencia y falta de prevención siguen minando la ciberseguridad mundial. Por muy ridículo que parezca, el hecho de no actualizar un simple software sigue causando estragos.
En 2015, un par de hackers éticos (cuyo objetivo es evaluar la seguridad de un sistema sin intenciones maliciosas) lograron tomar el control de un Jeep Cherokee 2014 desde su casa, a más de 15 kilómetros de distancia de donde se encontraba el vehículo.
El coche pirateado lo conducía Andy Greenberg, periodista de la revista Wired. La hazaña fue grabada y transmitida en YouTube. Como resultado, Fiat Chrysler se vio obligada a retirar del mercado casi un millón y medio de estos vehículos para actualizar su software, algo que debería de haber hecho mucho antes.
A veces, la motivación es puramente económica. En 2017, un equipo de hackers del Departamento de Seguridad Nacional (DHS) de Estados Unidos logró piratear y controlar de forma remota un avión Boeing 757 estacionado en un aeropuerto de Atlantic City. Estos explotaron una vulnerabilidad en las comunicaciones por radiofrecuencia que los expertos en aviación dicen conocer desde hace años.
Se calculaba que un 90% de los aviones comerciales podrían estar afectados por esa vulnerabilidad.
¿Por qué nadie la había arreglado? Porque costaba demasiado dinero y tiempo: alrededor de un millón de dólares por cada aparato en un plazo de un año; algo que para aerolíneas pequeñas podría suponer la bancarrota.
IA para el cibercrimen
Todos estos sucesos ocurrieron antes de la llegada de la inteligencia artificial (IA) generativa, de ChatGPT, Dall-e y similares. Estas tecnologías se han convertido tanto en aliadas contra el cibercrimen como en armas para los ciberdelincuentes.
Cualquiera sin muchos conocimientos puede ya, con estas herramientas, desarrollar sistemas capaces de tomar el control remoto de un dispositivo o crear imágenes de desnudos falsos con las que extorsionar a las personas a quienes supuestamente pertenecen.
Por otra parte, surgen nuevas técnicas de ataque como la llamada 'AI package hallucination' (alucinación de paquetes de IA) que distribuye código malicioso entre los usuarios de ChatGPT que tratan de resolver un problema de programación informática.
Además, la fiebre por probar cada nueva herramienta de IA generativa ha sido aprovechada por los cibercriminales. El pasado septiembre, ESET Research detectó una amenaza en Facebook que, bajo la promesa de descargar la última versión de Bard en el dispositivo, lo que hace es instalar un programa malicioso. Se han creado también webs falsas que imitan a ChatGPT para hacer picar a los usuarios.
Otro aspecto que preocupa es el exceso de confianza, sin ningún tipo de verificación, en el contenido generado por estas tecnologías, los LLM (siglas en inglés de grandes modelos de lenguaje). Se asume, equivocadamente, que estas herramientas están libres de sesgos o de contener información errónea. Incluso se confía en ellas para crear documentos clave (por ejemplo, alegaciones legales) o para tomar decisiones críticas sin intervención o supervisión humana.
Es preciso tener en cuenta el carácter dual de la tecnología y trabajar también para poder mejorar los sistemas LLM para mejorar nuestra defensa, como apunta Arroyo. Por ejemplo, para mejorar nuestra capacidad de detectar de forma temprana campañas de amenazas persistentes avanzadas (APT).
Alfabetización digital
La concienciación y la formación de la ciudadanía y del sector productivo en materia de ciberseguridad es crítica porque sus carencias facilitan una vasta cantidad de ciberataques. No en vano, en el entorno de la ciberseguridad se suele decir que el humano es el eslabón más débil de la cadena. Que se lo digan a 2gether, una empresa española de custodia de criptodivisas que perdió en 2020 seis millones de euros en criptomonedas porque un empleado suyo se descargó una película porno que contenía un programa malicioso.
Según el informe The Global Risks Report 2022 del Foro Económico Mundial, el 95% de las brechas de seguridad tiene como origen un error humano. En el mundo corporativo, esto puede significar la ruina. “Muchas pymes piensan que no serán ciberatacadas porque no creen que tengan datos de especial relevancia, pero según un reciente estudio, un 46% de los ciberataques tienen como objetivo las pequeñas y medianas empresas”, señala Marc Rivero, de Kaspersky.
"En muchas ocasiones los trabajadores pueden ser más peligrosos que los piratas informáticos, bien por negligencia o desconocimiento (...) Un gesto tan simple como hacer clic en un enlace fraudulento a través de un dispositivo conectado a la red corporativa puede comprometer la información de toda la empresa", añade Rivero.
Según INSSIDE Ciberseguridad, los errores más frecuentes vienen determinados por la falta de conciencia y capacitación de los empleados, por el uso de contraseñas débiles o compartidas, por la desactualización de dispositivos, por la introducción de dispositivos personales en el entorno laboral o por no reportar incidentes.
Los retos en el ámbito de la ciberseguridad son a menudo estructurales y sistémicos, tanto en el sector privado como en el público. Lo segundo ha quedado de manifiesto también en múltiples incidentes, entre ellos la oleada de ciberataques sufridos por diferentes instituciones españolas la semana pasada, coincidiendo con la cumbre informal de los jefes de Estado y del Gobierno de la UE en Granada.
En septiembre fue el Ayuntamiento de Sevilla el que sufrió una intrusión, sumándose así a la lista de ciudades y municipios atacados. Más grave fue el ataque de ransomware que sufrió el Consejo Superior de Investigaciones Científicas en agosto de 2022, que tuvo desconectados durante un mes al organismo y a buena parte de sus centros, además de sufrir una filtración de cantidades masivas de datos.
"El principal reto en esta sociedad digital es la sensibilización a todos los niveles para entender los ciberriesgos, con el objetivo de poder mitigarlos y de tener mecanismos para recuperarnos de un ataque", asegura Espinosa. "Todos podemos ser víctimas pero, desde un empresario a un gerente de una entidad pública, todos debemos crear la capacidad de defensa y de recuperación para que, con él mínimo impacto, podamos seguir dando servicio, trabajando o simplemente disfrutando de las herramientas digitales", concluye la experta.
En general -más allá del caso concreto de Air Europa-, Arroyo señala que es imprescindible para cualquier organización contar con políticas de copias de seguridad sin conexión, con mecanismos de autenticación robusta, con redes segmentadas para evitar la propagación del problema y con infraestructura no conectada al núcleo central para tener continuidad si este se ve aceptado.
Arroyo añade que es imprescindible también disponer de un comité y un protocolo de actuación ante ciberincidentes, hacer un trabajo constante de ciberinteligencia y busca de vulnerabilidades y cifrar la información confidencial, además de proporcionar una formación básica en ciberseguridad a todos los empleados, con simulaciones incluidas.
Muchas de estas medidas se aplican también al ciudadano de a pie. La formación en ciberhigiene no solo debe limitarse al entorno corporativo sino que debe extenderse a toda la ciudadanía, como parte de su alfabetización digital.
Queda aún mucho por hacer y claro está que nunca estaremos 100% preparados para el próximo gran ciberataque pero, si hacemos los deberes, podremos reducir su impacto al mínimo. Cómo dice Arroyo, al igual que ocurre con el doble uso de la tecnología, de aquí se puede sacar una lectura positiva en clave de lecciones aprendidas. Sigamos aprendiendo.