Las cifras de ataques y de incidencia de la ciberdelincuencia asustan. Y las referidas a España todavía más. Para muestra, algunos de los titulares de prensa relacionados con la ciberseguridad y con este país aparecidos en los últimos meses: “España, el tercer país del mundo con más ciberataques a empresas”; “España, el cuarto país europeo con más ciberataques al sector industrial”; “Las instituciones públicas, la investigación y la educación, en el punto de mira de los ciberataques en España en 2022”; “España es el séptimo país más ciberatacado por ransomware en 2022”…
Como dice un fabricante de ciberseguridad basándose en un estudio interno, las cosas “van a peor” en este mundo de la seguridad informática porque cada vez las empresas tienen que cubrir un área de ataque mayor (sobre todo después de la popularización del trabajo en remoto), cada vez tenemos más dispositivos y cada vez la infraestructura de una compañía es más compleja y variada (el cloud es el último capítulo).
Es decir, es lógico que se multipliquen las amenazas y los ataques, y el daño que causan. Era una evolución esperable. Lo que no era tan esperable hace un tiempo es que a estas alturas supiéramos las entidades y empresas concretas que sufren sustracciones y cifrados malintencionados de su información. En este ámbito sí que ha habido un cambio de tercio.
Hace unos años era un secreto a voces que las grandes compañías de servicios públicos o los bancos podían estar sufriendo ataques, pero nada trascendía. Sin embargo, la entrada plenamente en vigor, en mayo de 2018, del GDPR (siglas del Reglamento General de Protección de Datos de la Unión Europea) supuso en giro definitivo porque obliga a compañías y organismos que sufren una filtración de datos a comunicarlo a los afectados y a la Agencia Española de Protección de Datos en un plazo de 72 horas. Si la comunidad de afectados es muy amplia, las entidades atacadas recurren a medios de comunicación o redes sociales para informar de lo que ha pasado, de las implicaciones que tiene para los clientes o de las recomendaciones a seguir por estos para minimizar los efectos del ataque, tal como prescribe el GDPR.
Índice de temas
Abrir el debate en torno a la ciberseguridad es más fácil
En consecuencia, los medios de comunicación se han poblado en los dos últimos años de informaciones donde entidades con nombres y apellidos dan cuenta de amenazas y ataques que las llegan a paralizar y que provocan el consecuente daño reputacional. Pero no está claro hasta qué punto fabricantes y partners especializados en ciberseguridad están aprovechando este torrente de información para incrementar la conciencia de los clientes e incluso iniciar un proceso de venta.
Se impone el dicho: ‘Cuando las barbas de tu vecino veas afeitar, pon las tuyas a remojar
Los hay que agradecen estas noticias porque sirven para “abrir el debate”, como Isabel López, sales ingineer manager de Samsung. También hay quien asegura que en el momento en que sale la noticia de un ataque todo el mundo habla y se preocupa, pero luego el efecto pasa y todo se olvida rápidamente. Es el caso de Álvaro Fraile, director del centro de excelencia de ciberseguridad de Ibermática.
Aunque Fraile anima al canal a estar al tanto de todo lo que pasa a nivel de ataques, porque cuando hay que hacerle una propuesta a un cliente del mismo sector que la empresa afectada, es más fácil convencerlo. “Los clientes tienen que saber que estos ataques existen y les pueden pasar. Hay que hacer que el cliente tenga la mosca detrás de la oreja. Que se pregunte: ¿Y si me pasa a mí?”. Se impone en este mundo de la ciberseguridad el dicho: “Cuando las barbas de tu vecino veas afeitar, pon las tuyas a remojar”.
Ciberataques más importantes desde 2021
En este reportaje hemos querido rescatar los ciberataques más significativos ocurridos en España desde principios de 2021. Sorprende la variedad de tipos de compañías y entidades que los han sufrido. Pero, en líneas generales, se puede decir que los delincuentes se han cebado con los hospitales, incluso cuando estaban contra las cuerdas en el peor momento de la pandemia, y con organismos públicos, bancos, entidades de investigación, operadoras, bancos, aseguradoras y firmas de energía. En fin, con todo aquel que atesora grandes registros de datos de clientes, e información confidencial y atractiva de cada uno de ellos.
SEPE: marzo 2021
El ataque al Servicio Público de Empleo (SEPE) supuso un antes y un después. Por su magnitud, al provocar que centenares de miles de citas sufrieran retrasos y que miles de personas tuvieran que esperar más de la cuenta por sus prestaciones de desempleo. El causante del desaguisado: el ransomware Ryuk, un viejo conocido que lleva años causando problemas a las empresas.
Glovo: abril 2021
La firma española de reparto a domicilio hizo público el 29 de abril que había sufrido un acceso no autorizado a sus sistemas. Se llevó a publicar que el hacker había puesto en venta en internet los datos bancarios de clientes y repartidores. Al final no hubo tal revelación, pero sí se supo que los datos sensibles no estaban cifrados de forma correcta.
Phone House: abril 2021
Fue otro bombazo en la primavera de 2021, un tiempo en el que la pandemia de Covid acaparaba buena parte de la atención informativa. La cadena de tiendas de telefonía sufrió un ataque que dejó al descubierto datos sensibles de millones de clientes. Los delincuentes aseguraban que se habían hecho con información de más de tres millones de personas. Y pedían un rescate por la misma.
MediaMarkt: noviembre 2021
En plena preparación de la campaña de Black Friday, momento culminante para el sector del comercio, el gigante MediaMarkt sufrió un ataque de ransomware que bloqueó sus servidores. Más de 3.000 equipos con Windows se vieron afectados. Entre ellos muchos servidores y las TPV conectadas a los mismos. Tuvieron problemas tiendas de España, Alemania, Bélgica y Holanda.
Hospital de Lucena: enero 2022
El Hospital Centro de Andalucía, en Lucena (Córdoba), vio como miles de datos de sus pacientes quedaban expuestos debido a un ataque de ransomware. El centro sanitario lo denunció a la Policía Nacional y se puso en manos de Telefónica para resolver el incidente de ciberseguridad.
Hospital Vall d´Hebron: febrero 2022
En este caso los hackers se hicieron con datos de ensayos clínicos y amenazaron con divulgarlos. Para ello atacaron la división de investigación del centro: el Vall d’Hebron Research Institute (VHIR).
Iberdrola: marzo 2022
En la primavera del pasado año cayeron en manos de ciberdelincuentes los datos de 1,3 millones de clientes de la eléctrica Iberdrola. Según la compañía, accedieron a datos personales como nombres y apellidos, DNI, domicilio o número de teléfono, pero no a datos bancarios o de cifras de consumo de eléctrico.
Ayuntamientos de Navarra: mayo 2022
Hasta 137 ayuntamientos de Navarra tuvieron que volver al papel debido a un ataque informático que duró varias semanas. El incidente de ciberseguridad provino de un servidor ubicado en Lituania y también fue del tipo ransomware. Provocó caídas de servicios, como páginas web, correos y sedes electrónicas.
Laboral Kutxa: mayo 2022
Laboral Kutxa comunicaba a finales de mes que había conseguido bloquear un ciberataque que había afectado a sus sistemas informáticos, y en concreto a su servicio de intercambio de documentos con los clientes.
Glovo: julio 2022
Glovo volvió a los titulares en el verano de 2022. Se filtraron datos de más de cinco millones de clientes y 37.000 repartidores de la compañía fundada en Barcelona en 2015, y se pusieron a la venta en la dark web.
CSIC: julio 2022
El Consejo Superior de Investigaciones Científicas (CSIC) fue víctima de un ciberataque de ransomware que lo tuvo dos semanas sin conexión a Internet. El origen del ataque estaba en Rusia.
Telefónica: octubre 2022
La operadora informó de que había sufrido un ataque que dejó al descubierto y comprometió millones de contraseñas de los routers de los usuarios residenciales y empresariales. La compañía alertó a los clientes y les envió un aviso para actualizar las passwords de estos aparatos.
Holaluz: noviembre 2022
La compañía de energía eléctrica de origen renovable sufrió un acceso no autorizado a sus sistemas que afectó a algunos clientes y datos sensibles, según comunicó la propia firma a las autoridades.
Hospital Clínic de Barcelona: marzo 2023
Ha sido el último incidente grave y mediático en el ámbito de la ciberseguridad. Este centro hospitalario sufrió el pasado 5 de marzo un ataque de ransomware que logró encriptar sus sistemas. En consecuencia, se cancelaron servicios de urgencia, laboratorios y farmacia. Y se dejaron de hacer miles de análisis a pacientes ambulatorios y cientos de intervenciones. Además, el centro reconoció al cabo de las semanas que la confidencialidad de los datos personales de los pacientes estaba comprometida.