"No es algo casual": una ola inaudita de ciberataques pone en jaque los datos de clientes de grandes empresas españolas

Iberdrola, Telefónica, Banco Santander, Decathlon, Ticketmaster y hasta el Real Madrid. La ola de ciberataques de los últimos 15 días ha puesto en jaque los despachos de las principales empresas e instituciones españolas, que no descartan nuevos hackeos y trabajan a contrarreloj para controlar la situación. "Tenemos ataques informáticos casi todos los días, pero no en empresas de alto perfil. Es difícil creer que pueda ser una casualidad. Está claro que no es algo casual", advierten los expertos.  

Los ciberataques han tocado techo durante los últimos meses por el rápido desarrollo tecnológico, el boom de la inteligencia artificial y, sobre todo, la visión de negocio de los estafadores. La semana pasada, Telefónica confirmó que investigaba una posible filtración de datos con más de 120.000 clientes y trabajadores afectados. Los nombres y apellidos, las cuentas de correo electrónico y los números de teléfono eran el principal objetivo de los hackers. Dos días después, otro grupo criminal aseguró tener bajo control los datos de millones de usuarios de Ticketmaster, la conocida plataforma para comprar entradas de conciertos, festivales y obras de teatro.

"Las elecciones europeas están a la vuelta de la esquina. No tenemos todavía certezas, todo son meras especulaciones, pero tiene que haber algo detrás de este boom, algo grave", señala José Manuel Redondo López, profesor de Ingeniería Informática y Ciberseguridad en la Universidad de Oviedo. El docente pone el foco en Rusia, Israel y los conflictos geopolíticos que rodean el continente. "Las empresas tienen protocolos de actuación, sobre todo las grandes cotizadas. Los ataques se realizan a menudo a través de terceros, como los proveedores, que tienen sistemas más débiles. La ciberseguridad tenemos que empezar a verla como algo transversal", continúa. 

Las causas políticas, ideológicas y económicas suelen esconderse detrás de buena parte de los ciberataques. "Las entidades están incorporando pautas de control y notificación, que pronto serán obligatorias para todas las empresas, por eso trascienden estos casos", señala Elena Pérez Carrillo, profesora de Derecho Mercantil en el Máster de Derecho de la Ciberseguridad de la Universidad de León. Las Fuerzas y Cuerpos de Seguridad del Estado registraron un total de 374.737 ataques informáticos en 2022, lo que supone un aumento del 22% interanual, según el último Informe sobre la Cibercriminalidad en España publicado por el Ministerio del Interior. 

"El cruce de datos permite construir un perfil del cliente con todo lujo de detalles"

"Los directivos [de las empresas] tienen la obligación de aprobar planes estratégicos y vigilar su cumplimiento. Además, tienen que formarse en materia de ciberseguridad. Estas responsabilidades son directas e ineludibles", explica Elena Pérez Carrillo. Este lunes, un grupo de hackers puso a la venta una supuesta base de datos robada al Real Madrid, que no ha confirmado ni desmentido la veracidad del anuncio. La banda de piratas informáticos ShinyHunters también dice tener los datos de más de 30 millones de clientes del Banco Santander. 

La entidad financiera ha confirmado a este diario que el asunto está bajo investigación. "El banco implementó de inmediato medidas para gestionar el incidente, como el bloqueo del acceso a la base de datos y un refuerzo de la prevención contra el fraude", precisó la compañía en un comunicado. Los hackers han tenido acceso a la información de clientes de Chile, España y Uruguay, así como al historial de su plantilla. La empresa asegura que en su base de datos no figuran las credenciales de acceso a la banca electrónica e insiste en que los usuarios pueden seguir operando con normalidad. Iberdrola, que ha sufrido un "incidente" similar, tampoco ha querido dar más detalles de su respuesta.

Las administraciones públicas tampoco están exentas de este tipo de actuaciones. La Guardia Civil sigue la pista de un posible ciberataque en los equipos de la Dirección General de Tráfico (DGT) desde hace "dos semanas". La investigación no ha concluido y todavía no se ha podido constatar si los ciberdelincuentes han robado los datos del total de conductores registrados en el sistema. La DGT ha confirmado los hechos en una conversación con Público, pero ha rechazado hacer más declaraciones hasta tener los resultados del estudio. 

La Unión Europea (UE) fijó en 2022 un marco regulador común con el objetivo de mejorar el nivel de ciberseguridad de los países miembros. La normativa, de momento, solo afecta a las empresas del sector financiero, los proveedores de servicios tecnológicos y las grandes infraestructuras. El texto introduce un plan director y otro plan de recuperación para cuando las compañías sufren ataques de este tipo. "El resto de las empresas deberían tomar nota y aplicar proporcionalmente medidas similares en materia de ciberseguridad, tanto de gestión, como de notificación y transparencia", añade la profesora de Derecho Mercantil.

Los 'hackers', cada vez más "sofisticados"

Las empresas no son el único objetivo de los ciberdelincuentes. El Centro Criptológico Nacional sitúa las administraciones públicas como víctimas de tres de cada diez ciberataques en España. La DGT no es la primera –ni la última– institución que cae en manos de los hackers. El Ayuntamiento de Sevilla sufrió en octubre del año pasado un secuestro informático que se prorrogó durante más de 40 días. "Los cibercriminales desarrollan ataques cada vez más sofisticados y están mejor organizados. El éxito del mercado negro de datos robados es para ellos una motivación", señalan desde el Instituto Nacional de Ciberseguridad (INCIBE).

Los expertos ponen el foco en Rusia, Israel y los conflictos geopolíticos que rodean el continente

El organismo considera que el "proceso de transformación digital" y la dependencia tecnológica de la sociedad son dos factores cruciales para explicar el aumento de los hackeos. "La nueva regulación también obliga a las empresas a reportar los incidentes, tanto a los usuarios afectados como a las autoridades competentes, por eso tienen más visibilidad", añaden. "La parte positiva de que salgan estas comunicaciones es que los clientes son más conscientes y las empresas dedican más recursos a protegerse", prosigue Elena Pérez Carrillo. El Ministerio de Transformación Digital trabaja en una Ley de Ciberseguridad para conseguir una mejor respuesta ante los posibles secuestros de información. 

Punta de lanza para las estafas

El aumento de los ciberataques coincide en el tiempo con el auge de las estafas online, una conjunción que, según los expertos, tampoco debemos pasar por alto. José Manuel Redondo López pone como ejemplo a un usuario que, por ejemplo, haya comprado entradas en Ticketmaster, tenga una cuenta en el Banco Santander y figure en los registros de la DGT. "El cruce de datos permite construir luego un perfil del cliente con todo lujo de detalles. Los hackers saben muchas veces más datos de las víctimas que las propias víctimas", explica el profesor.

Con esta información, los estafadores pueden saber cuáles son tus gustos musicales, qué coche conduces, cuál es tu DNI o dónde tienes la cuenta bancaria. Los mensajes de "mamá, este es mi nuevo número, necesito dinero para pagar las facturas" y las llamadas insistentes de tu –supuesta– compañía bancaria tienen ahora un poco más de sentido. "Los protocolos mejoran porque aprendemos de los errores, pero vamos a tener muchos disgustos. El problema va a llegar fundamentalmente con el desarrollo de las inteligencias artificiales. Los fraudes van a coger carrerilla y todo va a entrar en una nueva dimensión", sentencia el ingeniero informático.