Cibertataques a las PYMEs y una nueva Batalla del Atlántico

En los últimos años hemos leído en los medios de comunicación impactantes historias sobre "ciberataques" producidos contra grandes empresas o gobiernos.  Millones de registros personales son robados, informes altamente secretos son divulgados, infraestructuras críticas son destruidas o puestas fuera de servicio.  La amenaza de un gran ataque a estos grandes y preciados objetivos es diaria y atrae todo el interés de la Sociedad.

Sin embargo, hay miles de otras historias que pasan desapercibidas y afectan a millones de pequeñas empresas y ciudadanos en todo el mundo.  En un informe de PWC, citado por el portal Welivesecurity, en mayo de 2014 se calculaba que se realizaban globalmente un promedio de 117,000 ataques por día, creciendo a un ritmo superior al 30% anual.

Mirando más cerca, un informe del INCIBE (www.incibe.es), ex-INTECO, afirmaba ya en 2012 que una cuarta parte de las PYMEs en España había sufrido incidentes de seguridad de la información.  Y con la presunción de que una gran parte de los incidentes no son reconocidos ni siquiera identificados (la tasa de incidentes sube al 46% cuándo la empresa contaba con un especialista en Seguridad). 

Desde entonces todo hace pensar que esta proporción ha crecido.

(Es interesante que la encuesta también confirma los datos de la ENISA respecto a Seguridad Móvil en Europa, como comentábamos en este post). 

En marzo de 2015, Zeedsecurity afirma que, de todos los incidentes de Seguridad en España, el 70% se focaliza en empresas con menos de 100 empleados.  Y que España ya es el tercer país en cantidad de ataques, según un par de estudios aunque es muy difícil medir esto en forma homogénea por las diferentes formas de contabilización que existen.

Sin embargo, los estudios de mercado coinciden en algo.  La inversión en Seguridad está aumentando ligeramente en las Grandes Empresas globalmente (en el orden del 5% según PWC, algo más fuerte en Europa, pero lejos de los crecimientos anteriores), lo que confirma este informe de ESET en Latinoamérica.  Pero está disminuyendo en las PYMEs, tanto a nivel global como en las distintas regiones, justo en el momento en que ocurre la mayor proporción de incidentes en las PYMEs¿Qué está pasando? (por supuesto la definición de PYME siempre será discutible). Para entender lo que está pasando permítaseme una analogía con la batalla del Atlántico en la II Guerra Mundial. 

Como sabemos, el objetivo de la Alemania nazi era interrumpir el abastecimiento de materiales, soldados y alimentos por mar a Gran Bretaña, para obligarla a rendirse o, al menos, a neutralizar cualquier acción ofensiva mientras durara la guerra con la Unión Soviética. 

Para el responsable de esta misión, el Almirante Karl Dönitz, la lógica de la batalla del Atlántico estaba basada en un principio bastante simple: la "guerra del tonelaje".  El desafío era hundir más barcos que los que el enemigo pudiese reemplazar en el mismo período de tiempo. Esto implicaba competir contra toda la industria naval del Imperio Británico y de los EE.UU. (aunque este entró en guerra formalmente en diciembre de 1941, siempre fue el principal proveedor de Gran Bretaña).

Basado en esta lógica, Dönitz dirigía a sus sumergibles hacia las áreas donde se podía obtener el mayor número de hundimientos al menor coste en pérdidas de submarinos. Si el enemigo protegía el golfo de Vizcaya, ordenaba atacar la desprotegida costa americana.  Si el enemigo conseguía mejorar la vigilancia en la zona enviaba sus unidades al Caribe. Y así. 

La culminación de esta táctica fue la implementación de las "manadas de lobos".  Los Aliados estaban convencidos de que la seguridad de sus barcos mejoraba concentrándolos en grandes convoyes. protegidos por numerosos destructores, cruceros y portaaviones.  Contra esa medida, Dönitz replicaba concentrando grandes cantidades de submarinos contra el mismo convoy.  Apenas un sumergible detectaba uno, transmitía la posición al Cuartel General en Paris y desde allí Dönitz ordenaba a toda unidad cercana, navegar a toda prisa para concentrarse en un punto y lanzar un ataque conjunto. 

Durante mucho tiempo esta táctica dio resultados impresionantes. A pesar de que las bajas alemanas era elevadas, las de los Aliados eran lo eran mucho más.  En marzo de 1943, se batió el récord total de tonelaje hundido, mucho más de que los astilleros de los Aliados eran capaces de construir, mientras que el número de submarinos no paraba de crecer.  De seguir con este ritmo de perdidas, la invasión de Normandía (programada para el verano del año siguiente) no podría tener lugar y los Aliados occidentales estarían neutralizados.

Sin embargo, en mayo de 1943, los Aliados lanzaron una contraofensiva largamente planeada.  Aviones en gran número, volando por turnos, algunos desde tierra, otros desde portaaviones en diferentes cuadrantes, cubrieron el Atlántico Norte las 24 horas.  Un nuevo radar aéreo permitía a los aviones detectar a los submarinos incluso de noche y bombardearlos por sorpresa, cuando salían a recargar aire y baterías.  Decenas de corbetas ligeras y rápidas salieron a patrullar las costas por turnos dando una gran protección al tráfico costero. Todo al mismo tiempo.

 

Avión Catalina de lucha antisubmarina

En menos de un mes, Dönitz se dio cuenta de que había perdido.  Los aliados hundieron casi 2/3 de los submarinos en el mar, reduciendo al mínimo sus pérdidas.  La ecuación se había invertido: ahora eran los alemanes que perdían más barcos de los que podían construir, mientras los aliados eran capaces de multiplicar su tonelaje.  El Almirante Alemán sabía que no podía seguir así o su flota de submarinos se extinguiría.

Manteniendo su fría lógica hasta el final, volvió a buscar el equilibrio.  Retiró a sus unidades supervivientes del Atlántico Norte y las envió a rutas mucho menos patrulladas: el Atlántico Sur, la costa sudafricana y el Oceáno Índico.  Ya no podría barrer al enemigo, pero intentaría obtener la mayor rentabilidad posible de su actividad reducida, marginal. De esta forma redujo el número de pérdidas a un número tolerable y volvió a "hacer rentable" la actividad submarina.  

¿A cuénto de qué viene esto? Lo que está ocurriendo no es tanto que estén aumentando los incidentes sobre las PYMEs, sino que está disminuyendo la proporción de ataques efectivos sobre las Grandes Empresas.  Las enorme inversiones en Ciberseguridad realizada por las Grandes Empresas y Gobiernos (según PwC, la inversión se duplicó entre 2010 y 2013), en los últimos años ha empezado a tener efecto.  Los Grandes Convoyes ya no son tan rentables.

En conclusión, la próxima generación de ataques quizás sea menos espectacular, pero no menos dañina.  El gasto en PYMEs no aumenta porque no hay todavía percepción de este riesgo. Según diferentes estudios, los empresarios PYMEs siguen pensando que este es un problema de las grandes corporaciones o de los sectores de alto riesgo.

Pero los que antes sufran o perciban la amenaza, tendrán menos consecuencias, que los más tardíos, aunque, seguramente la inversión en Seguridad en la PYME aumentará de todos modos en el corto plazo.  Posiblemente no es forma lineal, debido a que la industria buscará soluciones más eficientes para atender a compañías más pequeñas y ganar escala.

Un último corolario.  En el fondo Dönitz nunca abandonó la ilusión de volver a disputar la batalla del Atlántico Norte.  Pero era consciente de que, para ello, necesitaba una profunda evolución tecnológica que equilibrara la balanza contra la vigilancia aérea continua. Apenas retiró sus submarinos del frente, puso a trabajar a sus ingenieros en otras soluciones.  El resultado fue el submarino Tipo XXI, capaz de permanecer sumergido durante semanas y de navegar sumergido a grandes velocidades, entre otras mejoras.

Moraleja: las Grandes Empresas no pueden descuidarse.  No deben bajar la guardia, pese al éxito que acompaña las mejoras implementadas en sus esquema de Seguridad.  El enemigo sigue trabajando activamente en desarrollar nuevas amenazas efectivas contra sus sistemas. Si la revolución digital ha llegado para quedarse, la Ciberseguridad debe contemplarse como un requisito más del negocio (como la Seguridad Física o los servicios energéticos).  Al menos, en este aspecto, no creo que pueda decirse que la guerra ha terminado.

PS. Por cierto las encuestas de PwC y el ESET indican la importancia que las empresas dan a las acciones sobre sus empleados, como elemento clave de la Seguridad de la Información, como preguntaba la gente de Reporte Digital en esta nota que publiqué hace algunas semanas.