Viernes, 27 Marzo 2020

Cyber en tiempos del COVID-19: el tridente del cibercrimen

VolverEl COVID-19 no sólo está poniendo a prueba la fortaleza de nuestro sistema sanitario, sino también al conjunto del Estado de Bienestar y de la economía social y de mercado que lo sustenta. Desde los servicios sociales, pasando por las cadenas de distribución de alimentos, la logística de recambios y bienes de equipo, el sector educativo, la industria del entretenimiento y de la información… La severa crisis producida por el COVID-19 está llamada a generar cambios en el modelo productivo de bienes y servicios dentro de una Unión Europea que pugna por superar, con sus propias contradicciones, la brutal crisis abierta por el Brexit.

Como no podía ser de otra forma, en el ámbito del cyber, el impacto del COVID-19 no ha tardado en dejarse notar. Son varios los indicadores internacionales que apuntan a un incremento notable en el número de ciberataques a infraestructuras críticas públicas y privadas.

En estos tiempos de excepción, de acuerdo con el tipo de ciberataques detectados, se puede esbozar el tridente del cibercrimen: ransomware, phishing y fake news.

El principal modo de ciberataque identificado es el ransomware. Como ya expusimos en Ciberriesgo y ciberseguro (II): silent cyber, ¿una revolución en curso? , el ransomware es un software que tiene como objetivo el “secuestro de datos”; dada la creciente dependencia de empresas y administraciones públicas de las infraestructuras digitales (teletrabajo, reuniones virtuales, redes sociales…), la posibilidad de privar a los actores públicos y privados del acceso a dispositivos, redes, bases de datos o fuentes de información, puede tener un efecto devastador.

Los cibercriminales se aprovechan de los puntos más vulnerables del sistema para perpetrar sus ataques. En este sentido, uno de los puntos más vulnerables de empresas y administraciones públicas es, precisamente, sus empleados. El ransomware necesita de una acción del operador humano para desplegar su potencial dañino. En tiempos del COVID-19, los cibercriminales utilizan los miedos e inseguridades del usuario de los sistemas digitales como punto vulnerable susceptible de ataque.

Así, ya en la publicación de enero de 2020, analizamos el mecanismo de funcionamiento del NotPetya; aquel sencillo malware, precisaba que el usuario “clickase” para abrir un correo electrónico que, inmediatamente encriptaba los archivos y exigía, a cambio del desbloqueo, un rescate en criptomoneda. Es decir, el ransomware exige siempre la participación del individuo: descargar una aplicación, visualizar un archivo, abrir un correo electrónico…

En la situación excepcional que vivimos se produce la conjunción de dos elementos que lo convierten en el momento propicio para perpetrar un cibercrimen de estas características: (i) existe una sobreexposición al riesgo por parte de empresas y administraciones públicas que sólo pueden prestar servicios, dada la situación de confinamiento forzoso, a través de las infraestructuras digitales y (ii) se ha generado un clima de temor y ansiedad social en torno al contagio del COVID-19 que multiplica la vulnerabilidad el sistema.

Buscar información sobre la prevención del COVID-19, adquirir productos sanitarios como mascarillas o desinfectante, consultar posibles tratamientos para la infección o qué actividades realizar durante el confinamiento son comportamientos, sociológicamente entendibles, pero que constituyen un foco de ciberriesgo, en caso de no adoptarse las precauciones necesarias.

Ante la gravedad de la crisis generada por el COVID-19, algunas organizaciones cibercriminales como DoppelPaymer o Maze han anunciado un “alto al fuego” sobre instituciones sanitarias, garantizando a éstas el acceso a un desencriptador gratuito en caso de que sufran el secuestro de datos tras un ataque con ransomware; a pesar de esta promesa de “no agresión”, es preciso señalar que (i) no existe consenso en una comunidad difusa y líquida como es la del cibercrimen y, (ii) por otro lado, no existe un compromiso de evitar los más que probables “daños colaterales” que este tipo de ciberataques producen, tal y como analizábamos en artículos anteriores. La amenaza del ransomware sigue, por lo tanto, de última actualidad.

Otro de los frentes de la ofensiva cyber lo constituye la técnica de phishing, que utiliza parámetros similares al ransomware. Mediante el phishing, se utiliza la propia vulnerabilidad del usuario para obtener datos personales tales como números de identificación, números de cuentas bancarias, contraseñas u otra información de carácter confidencial. Los ataques en forma de phishing parten de cuentas presuntamente oficiales (normalmente, vía email) al objeto de ganar la confianza del usuario de forma que introduzca sus datos en un marco de legítima expectativa de veracidad y seguridad.

Así, durante la crisis desatada por el COVID-19, se han detectado ataques de phishing utilizando perfiles de organizaciones públicas, centros sanitarios, organizaciones privadas que pretender dar opciones para la compra de productos sanitarios (mascarillas, guantes…), fármacos, pseudo-tratamientos o, simplemente, actualizar datos de contacto de entidades bancarias o administraciones públicas (claves de acceso a perfiles digitales, claves de autorización de compra…).

Cuando el usuario introduce los datos requeridos por la supuesta entidad de confianza, pública o privada, el cibercriminal se hace con ellos al objeto de autorizar pagos, transferencias o realizar gestiones suplantando la identidad de su víctima.

Finalmente, la tercera punta del tridente de la ofensiva cyber se encuentra en las fake news (campañas de desinformación) que, en algunos casos, pueden conducir al desprestigio de empresas y organizaciones. Las pólizas de ciberriesgos, habitualmente, contemplan la cobertura del “riesgo reputacional”: la cobertura de los gastos de asesoramiento, campañas de restablecimiento de imagen, etc.

¿Qué podemos hacer ante el tridente del cibercrimen?

Las pautas que recomendamos seguir son sencillas y ampliamente conocidas:

• Garantizar la existencia de una infraestructura digital segura y dotada de los medios técnicos necesarios.

• Garantizar que los usuarios de las infraestructuras digitales se encuentran suficientemente concienciados, formados y entrenados en la prevención de los ciberriesgos: uso de canales oficiales, utilización de sistemas de doble verificación, medidas de “higiene digital”…

• Informar a los empleados/usuarios de que se está produciendo un notable incremento de ciberataques de distinta índole y recomendar el uso de sistemas de doble verificación para la descarga de correos/archivos.

• Informar de la pérdida/robo/hurto de dispositivos.

• Mantener el teletrabajo en cauces seguros: evitar el uso de medios personales de los empleados y asegurar que existe un sistema de protección activa frente a posibles ciberataques.

• Evaluar la respuesta ante un ciberataque y articular un sistema de reparación de pérdidas y/o daños.

Desde el Departamento de Derecho del Seguro de Belzuz Abogados S.L.P., en tiempos de sobreexposición al ciberriesgo, recomendamos no sólo adoptar medidas de prevención (medidas ex ante), sino también considerar el escenario en que se ha materializado el ciberriesgo y adoptar medidas dirigidas a solventar las consecuencias negativas para la empresa/organización (medidas de mitigación/reparación, ex post).

Desde la óptica del seguro, la respuesta a las implicaciones que puede tener un ciberataque sobre la actividad productiva de la empresa, su propia imagen o sobre sus trabajadores, debe encontrarse adecuadamente evaluada y articulada de cara a poder prevenir las consecuencias potencialmente dañinas del ciberriesgo.

El incremento de la vulnerabilidad del sistema debe ser una ocasión para mejorar y actualizar nuestra infraestructura digital, pero también es el momento adecuado para empezar a valorar la importancia del ciberseguro, de concienciarnos de la importancia de la “higiene digital” y del papel fundamental que juegan los usuarios en construir un entorno de seguridad para el desarrollo de un ciberuniverso en expansión.

En tiempos del COVID-19 el cibercrimen no descansa: en guardia!

Ian Pérez López  Ian Pérez López

Departamento de Derecho del Seguro | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

 

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Negligencias médicas Portugal

+351 968559667

PRIMERA CONSULTA GRATUITA


Asociaciones