“¿Quién va a querer atacar mi empresa?” Es lo que suelen argumentar las futuras víctimas de compañías modestas, con una limitada presencia en internet y una digitalización “de andar por casa”.
Creen que así, con la estrategia del avestruz, pasarán desapercibidas para los atacantes que, en su opinión, seguro que están más ocupados con sofisticadas ofensivas de ransomware a multinacionales que cotizan en bolsa. Así se alivia la conciencia.
“Si nadie quiere atacarme, tampoco tengo por qué defenderme”, concluyen. Lo curioso es que es cierto. Nadie quiere atacarles “a ellos” en concreto, igual que el pescador no busca un pez determinado, sino alguno, cualquiera, que pique. Y no por ello ese pez se encuentra a salvo. Lo que ocurre es que quizá no se tiene claro cómo funcionan los atacantes ni tampoco las consecuencias derivadas de los ataques.
Cuando una organización cibercriminal ataca a una gran empresa buscando un rescate millonario, su objetivo sí suele (o puede) ser la compañía. Pero no solo de la caza mayor vive el atacante. La pesca de arrastre, las pequeñas empresas con presencia modesta en la red, también les son atractivas. ¿Por sus datos? ¿Para pedir un rescate? No, simplemente por su infraestructura y recursos.
Principalmente les sirven como soporte operativo para realizar otro tipo de estafas. Por ejemplo, para alojar malware con el que infectar, para conseguir correos a los que envían spam, para disponer de capacidad de cómputo gratuita, para obtener direcciones IP desde donde ocultar sus ataques… las ventajas de contar con un ejército de pequeñas páginas webs o servidores es enorme. No solo por los ahorros en sí, sino como pantalla que oculte su rastro. Y aquí lo importante no es la empresa atacada, su facturación o importancia… lo que les viene bien son los recursos gratuitos que les proporciona y para eso cualquiera les sirve y puede convertirse en víctima.
Los hay aún más imprudentes. Piensan que, no solo no son interesantes para los atacantes sino que de ocurrir un ataque, no tendría tanta importancia. Opinan que el hecho de que “algún hacker” controle su sistema o página web no es relevante. Una incomodidad que se limpia y ya está. Pero la realidad es que ningún ataque sale gratis. Vamos a describir algunas de las consecuencias para que la víctima pueda evaluar si es relevante o no.
El primer impacto de un ataque a una web se produce en el SEO, o lo que es lo mismo, el posicionamiento. Las empresas (en especial las pequeñas) necesitan aparecer bien alto en los buscadores para fomentar su negocio y darse visibilidad. A veces la mayor parte de sus potenciales clientes llegan de esta forma. ¿Qué pasa si le atacan? Los grandes buscadores penalizan a las páginas vulneradas, y puede que o bien se hunda en los resultados de buscadores o bien la página aparezca en las búsquedas asociadas ya a farmacia ilegal, pornografía o cualquier otro tipo de delito. Internet no olvida y el impacto reputacional en el negocio es incalculable.
Los atacantes también pueden utilizar la página vulnerada como “redirector” o proxy. En estos casos, el usuario que intente acceder a la web legítima podría acabar en otra de dudosa reputación o incluso la dirección IP incluida en alguna lista negra por divulgar contenido ilegal. En ese caso, el servicio en la nube de la empresa podría ser suspendido o el sistema de correo ser clasificado como spam y complicar las comunicaciones. Salir de estas listas condenatorias requiere luego de un considerable esfuerzo burocrático.
Por último, hay que tener en cuenta que toda esta infraestructura gratuita es solo una pata más de un negocio mayor, donde, en una organización cibercriminal mediana, seguramente existe ya un departamento de ingeniería, otro de innovación, otro “financiero” dedicado al lavado de beneficios... Dentro de este organigrama encontramos todo tipo de personas que trabajan externalizadas como, por ejemplo, atendiendo a los estafados por teléfono para hacerse pasar por ciertas empresas, creando contenido ilegal, buscando víctimas web, falsificando reseñas, empaquetando mercancía… a veces venden al peso sitios vulnerados, usuarios y contraseñas o tarjetas de crédito que se usarán para enviar spam o lavar los beneficios. Muchas de ellas trabajan en condiciones lamentables para terceros a los que ni siquiera conocen, que luego orquestarán otro tipo de estafas con todos los recursos usurpados disponibles.
Con todo este entramado, las víctimas que involuntariamente prestan sus recursos siguen alimentando sin saberlo toda una industria del cibercrimen que, según ciertos informes, ha alcanzado un valor global cercano al 1,5% del PIB mundial, superando lo que generan actividades delictivas como el tráfico ilegal de armas, la trata de seres humanos y el mercado ilegal de drogas… Y lamentablemente estos números se consiguen también con la colaboración inadvertida de aquellos que piensan que no hay motivo para ser atacados y que, si ocurre, tampoco es tan importante.