Quan parla de Banc Santander, Tomàs Roy, director de l’Agència de Ciberseguretat de Catalunya, es desfà en elogis. Diu que és l’empresa amb més capacitat de seguretat cibernètica d’Espanya i, potser, internacional. “Tenen 1.300 persones dedicades a la ciberseguretat”, assegura, mentre repeteix que, per a ells, és tot un referent. I malgrat que sembla que l’empresa està blindada digitalment per tot arreu, fa dues setmanes va ser víctima d’un ciberatac.
Amb l’atac es van veure compromeses dades de clients dels mercats espanyol, xilè i uruguaià, així com de tots els treballadors i alguns extreballadors del grup. Malgrat això, el Banc va continuar funcionant amb normalitat. “Sembla que l’atac ha estat a un proveïdor de l’empresa que tenia aquestes dades”, explica Roy.
Tenint en compte la importància que l’empresa dona a la ciberseguretat, el director de l’Agència catalana frisa per veure com reforçaran les seves pràctiques i la relació amb altres agents com els distribuïdors, per tal que això no torni a passar.
El Santander, com Iberdrola, que va ahir també va patir un atac d'aquestes característiques, han estat les últimes víctimes de la delinqüència cibernètica, però no són pas les úniques. Els últims anys, hi ha hagut diversos casos molt sentits: el de l’Ajuntament de Calvià, a Mallorca, aquest gener passat; el de l’Hospital Clínic de Barcelona, el març de 2023; els dels hospitals Moisès Broggi i Dos de Maig, l’octubre de 2022, o el de la Universitat Autònoma de Barcelona, l’octubre de 2021.
De fet, segons el mòdul d’actualitat empresarial de l’Idescat, el 26,1% de les empreses catalanes (una de cada quatre) declaren haver estat víctimes d’algun tipus de ciberatac. La indústria és un dels sectors d’activitat més afectats: el 38,2% han patit aquest tipus d’atacs.
Més ciberatacs que mai
Els ciberatacs han crescut al ritme de la digitalització del món. Si cada vegada el món digital és més gros i té més valor, és més interessant atacar-lo, explica Roy. “Estan guanyant més diners que mai”, diu Roy, perquè demanen rescats molt més alts. L’amenaça per a qui no es protegeix és cada vegada més elevada.
És per això que no s’ha d’entrar en el seu joc. Guies i experts coincideixen que no s’han de pagar els rescats que aquests pirates demanen a canvi de tornar el control de dades i arxius. Malgrat això, el 50% de les empreses decideixen pagar-los —segons la consultora britànica de ciberseguretat Hiscox— i sovint escullen no denunciar-ho.
En parlem amb el cap de l’Àrea de Ciberseguretat dels Mossos, Albert Álvarez. Explica que “sovint les empreses decideixen pagar i no denunciar perquè temen la mala publicitat que es pot despendre de ser víctima d’un atac com aquest”. Per això les forces de seguretat no poden dimensionar la magnitud total de la ciberdelinqüència. Álvarez recalca que no s’ha de cedir mai a aquest tipus de xantatges, perquè s’estaria potenciant l’activitat delictiva “i les corporacions podran perfeccionar les tècniques perquè tindran més recursos”.
Lucre i impunitat
Què és, però, ben bé, un ciberatac? N’hi ha de diversos tipus. El més comú és el ransomware, un programari maliciós que encripta els documents de la víctima i exigeix un rescat perquè hi pugui tornar a accedir. A més, aquesta tipologia d’atac ha anat evolucionant i ara, a més de xifrar les dades, els hackers tendeixen a amenaçar de publicar la informació —sovint, sensible— si no se’ls paga el que demanen.
“Juguen amb la llei de protecció de dades”, explica Álvarez. Que recorda que les companyies són les responsables de vetllar per la privacitat de les dades dels seus clients.
Perquè tot i que hi hagi diverses motivacions, el principal cibercrim és el que té com a objectiu el lucre econòmic. “És un negoci molt productiu, d’impunitat elevada, que està generant milions de dòlars”, diu Roy. Per això creix.
Per això i perquè cada vegada és més senzill convertir-se en ciberdelinqüent. Ara, qualsevol, sense massa coneixement d’informàtica, pot adquirir a la dark web una família de ransomwareper fer ús d’aquesta tecnologia.
Tot i que cada vegada sigui més accessible, generalment els delinqüents que es dediquen a aquestes pràctiques de manera seriosa estan organitzats com si fossin grans corporacions internacionals. Hi ha molts actors: qui entra, qui desplega el programari maliciós, qui cobra, qui neteja… És per això que es fa difícil de perseguir-los. També perquè la col·laboració entre forces de seguretat internacionals no sempre és senzilla. No tots els països han signat els acords o els interessa, geopolíticament, contribuir-hi.
De fet, moltes de les guerres que hi ha actives avui dia es juguen com a guerres híbrides. “La guerra ha fet que els cibercriminals, els ciberactivistes i els estats s’hagin polaritzat i polititzat. A la guerra d’Ucraïna hi ha tot un hacktivisme en contra d’aquest país, perquè hi ha hackers que s’han posicionat a favor de Rússia… I cada vegada hi ha més ciberterrorisme o espionatge dels estats”, diu Roy.
Com cal actuar?
La gran debilitat de les organitzacions és creure que això no els passarà. Si li ha passat a Iberdrola, a Banc Santander i a Microsoft, li pot passar a qualsevol. La millor cura, diuen els experts, és la prevenció. Preguntar-se com s’ha de reforçar la seguretat. Com es pot detectar l’atac, si arriba. Calen sistemes de prevenció, monitoratge, resposta i reacció. Un pla d’acció i haver simulat incidents per estar preparats. I potser una ciberassegurança, per tenir capacitat i recursos per respondre si passa.
“Hem de construir la transformació digital fent-nos forts”, reclama Roy. Sovint, es dona importància a poder oferir una continuïtat del servei (un web, una app, un campus que funcioni sempre), però amb això no n’hi ha prou. Cal que aquest servei sigui segur; cal donar prioritat a la protecció.
I si passa, perquè és possible que passi, ens hem de moure de pressa. Avisar Mossos i autoritats pertinents, i tenir un professional especialitzat a mà per seguir-ne els consells.
La IA, una bona aliada
Gràcies al desenvolupament de la tecnologia, els atacs són cada vegada més efectius. Un cas clar és el del phishing, la tècnica maliciosa que consisteix a enviar un correu electrònic o un missatge a través de xarxes socials simulant ser una entitat legítima o un conegut amb l’objectiu de robar informació privada o infectar un dispositiu.
Abans, els casos de phishing eren força detectables. Els missatges estaven mal escrits, formalment eren sospitosos i s’enviaven en anglès o en castellà. Ara, amb la IA, aquest tipus de delinqüència és molt més difícil de detectar. La tecnologia és capaç de mimetitzar format i temàtiques per fer el seu missatge molt més creïble. Potser t’escriu una companya de feina en català, fent referència a un tema que vau tractar uns quants correus anteriors. I, així, caure en el parany és molt més senzill.
La IA ha fet els atacs més efectius, i també més ràpids i constants. El 2022, a Catalunya es van detectar quatre mil milions d’atacs. El 2023, vuit mil milions. I en aquest últim mes de 2024, l’Agència de Ciberseguretat ja en compta més de mil milions, fet que apunta que les xifres d’enguany superaran les del període anterior. Aquestes dades estratosfèriques apunten que no són sempre individus els que hi ha rere els atacs de malware, sinó, sovint, robots.
Si els delinqüents han automatitzat els atacs, només s’hi pot lluitar automatitzant les defenses. I, en això, la IA també pot ser una gran aliada. Pot servir per gestionar un gran volum de dades, detectar anomalies a temps real i generar respostes automatitzades amb informació de context.