Un ataque informático puede perseguir la destrucción de las redes y datos de una empresa, o bien exigir un rescate económico a cambio de la información robada. En ambos casos, todo empieza con una etapa de reconocimiento en dos fases, externa e interna.

La primera persigue averiguar cómo opera la compañía y sus filiales. La segunda consiste en localizar e infectar las copias de seguridad (backups) de los datos.

Estas prácticas no suelen ser detectadas de inmediato y los bancos no son el mayor objeto de deseo de estos delincuentes: el sector público y las industrias manufactureras o de viajes han registrado a su vez incidentes. Sin embargo, sigue fallando la respuesta como equipo de las instancias afectadas, porque la ciberseguridad suele depender de un departamento separado del resto.

Para acceder a una firma o entidad de cierta envergadura, "hay que analizar su ecosistema externo". "Si opera con firmas más pequeñas con acceso a sus redes de Internet, pero más vulnerables y sin presupuesto para protegerse bien, resulta más fácil para el atacante entrar por ahí para lograr su objetivo", dijo al diario español El País Francisco Galián, experto en ciberseguridad de IBM.

Una vez dentro, empieza la fase de reconocimiento interno de la infraestructura de la red en busca de los datos. Si la intención de los ciberdelincuentes es causar el mayor trastorno posible, "al principio, darán la sensación de que se trata de un secuestro de datos (ransomware), que podrán ser luego recuperados, pero, en realidad, se han infectado y se destruyen, y también son perturbados los servidores y cualquier máquina atacada", dijo Galián.

"Si lo que pretenden es pedir un rescate para devolver la información sustraída, el asaltante cifrará todos los datos de la institución elegida y mandará luego una notificación de pago, generalmente el criptomonedas. Es un chantaje en toda regla, y si las empresas restauran luego sus copias de seguridad sin haber hecho antes una investigación forense profunda, pueden recuperar datos todavía infectados. El atacante suele permanecer en la red unos 5 o 6 meses, y deja lo que denominamos mecanismos de persistencia, unas puertas traseras, en la red. Si pasado ese tiempo, comprueba que sigue habiendo cabos sueltos en la seguridad, pueden atacar de nuevo", precisó.

La difícil detección en tiempo real de un ciberataque responde a los tiempos manejados por los delincuentes. Una vez obtenida la información que buscaban, pasan tres o cuatro semanas sin moverse en la red elegida.

De esa forma, "cuando se lancen, crearán gran confusión en los equipos de seguridad, porque no hallarán movimientos extraños recientes". "Aunque hay empresas con buenos equipos de seguridad, y otras tienen planes, los primeros suelen trabajar aislados del resto de los departamentos, y así no se puede reaccionar bien ante una crisis. En cuanto a los planes, muy pocas los ensayan, y el ciberdelincuente ya no es un tipo metido en un sótano con sudadera y capucha. Ahora son equipos profesionales, y aunque es difícil señalarlos, sí hay momentos claros de riesgo. Por ejemplo, cuando es Navidad en una parte del mundo, pero no en otras, y la gente se lanza en masa a consumir online", advirtió Galián.

El experto indica que dos de cada tres compañías averiguan que han sido atacadas cuando se lo notifican otros, porque sus datos se han hecho públicos, o al recibir una nota del ciberdelincuente pidiendo un rescate.

Según el Instituto estadounidense Ponemon, que investiga de forma independiente la protección de datos, "solo el 36% de las 600 empresas de información y tecnología (IT) encuestadas en el país en 2018, aseguraron que sus equipos son lo bastante eficaces para detectar e investigar la ciberseguridad interna antes de que se produzca un ataque".

"Un 71% de los altos ejecutivos y gerentes no mantenían una comunicación fluida sobre los riesgos con los servicios de seguridad, y un 68% no captaba bien el peligro [de ciberataques] y el efecto negativo para la compañía".

Aunque las cifras no suelen hacerse públicas, la tendencia observada por especialistas como Galián indica que las aseguradoras están dispuestas a pagar rescates de esta clase hasta cierto límite, "digamos un millón de dólares". Pero incluso así, no está garantizada la recuperación de datos.