Ciberataques con robos masivos de datos: para qué los usan, cómo actuar y cuándo se puede reclamar

La oleada de ciberataques que ha afectado a grandes empresas del Ibex como Banco Santander, Iberdrola o Telefónica no se limitó a ellas. Gigantes internacionales como Ticketmaster e instituciones públicas como la Dirección General de Tráfico (DGT) también han sido objetivos recientes de los criminales. La entrega de información personal a empresas y organismos que se cede a menudo tras aceptar una política de datos -que muy pocos leen- es una condición necesaria para poder recibir los servicios que ofrecen. Dado que no hay muchas más opciones que aceptar o renunciar al servicio en cuestión, cabe preguntarse qué puede pasar, cómo hay que actuar y si es posible reclamar en el caso de que los datos acaben en las manos equivocadas. Justo lo que ha ocurrido.

Sobre lo que puede pasar, o para qué quieren los datos, diferentes expertos consultados para este artículo coinciden en que el uso más evidente es el de venderlos a otros cibercriminales. “No solo es una fuente de dinero muy importante, sino que además el beneficio es inmediato”, explica Omar BenBouazza, coorganizador del congreso de seguridad y tecnología RootedCon. Pero para vender los datos tiene que haber alguien que los compre. Lo hay. Y tampoco los quieren para nada bueno.

“Aquellos que compren esos datos lo que pueden hacer es lanzar campañas de suplantación de identidad o de phishing”, prosigue BenBouazza. Los datos que se les escapa a las empresas son la pieza de un puzzle que, si cae en las manos de alguien capaz de resolverlo, puede usarlo en contra los afectados de alguna de las maneras que menciona el experto. Lo peor de las brechas de la última semana es que, según confirma un inspector del área de ciberseguridad de la Policía Nacional, cabe esperar un repunte de los intentos de suplantación de identidad y de estafas en los próximos días, semanas y meses.

Precisamente, sobre la suplantación de identidad advierte el inspector. Es muy peligroso por dos vertientes. La primera. Los cribercriminales pueden usar los datos robados para hacer de pantalla al cometer sus delitos, y por esto mismo, a la policía le cuesta en ocasiones distinguir entre meras víctimas de robos de datos y cómplices del entramado criminal.

La segunda vertiente de la suplantación es la contratación de servicios o la solicitud de préstamos. Paloma Arribas, socia y directora del departamento de protección de datos de la firma de abogados Baylos, detalla que mientras que los bancos grandes tienen ya sistemas de identificación de contratantes muy robustos, hay otras entidades dedicadas a conceder créditos rápidos que no tienen tanto cuidado a la hora de verificar la identidad. “Usándolas pueden pedir créditos a nombre de la gente a la que han robado los datos. Si esto ocurre, esas entidades, que además ofrecen préstamos a intereses muy altos, luego van a reclamar a la víctima de suplantación la devolución del crédito y de los intereses”, alerta Arribas.

Los intentos de estafas son otras de esas consecuencias previsibles tras grandes brechas de datos. Arribas señala que lo peligroso en esta ocasión es que al haber sido ataques muy seguidos y en empresas de diferentes ámbitos es que se abre la posibilidad de cruzar datos. “A mí a veces me llegan mensajes de que ha habido un problema con mi cuenta de BBVA, y como yo no tengo cuenta en BBVA, sé que es una estafa. Pero ahora, si efectivamente saben de ti tanto, entonces te van a dirigir ataques que te harán dudar, aumentando las probabilidades de que caigas”, asevera.

BenBouazza habla en concreto del potencial alcance del ataque a la DGT. “Podemos esperar en los próximos meses intentos de ataques a todos los usuarios, informando por ejemplo de alguna multa aportando el número de matrícula de su coche”, apunta. En el caso de Iberdrola y del resto de empresas, BenBouazza identifica un vector de ataque claro: “Mandarte una factura con un pdf que esté comprometido para acceder a tu sistema o advertir de que una factura está impagada y reclamar su pago. Si esto lo haces a miles de usuarios, con que el 1% o el 5% pique es un muy buen dinero”, señala.

Cómo actuar

Que los datos de parte de los clientes de alguna empresa hayan sido comprometidos no significa que afecte a todos. La ley obliga a las empresas a comunicar en menos de 72 horas a la Agencia Española de Protección de Datos si han sufrido ataques que han comprometido información de sus clientes. La AEPD evalúa la situación, y si considera que es lo suficientemente grave, obliga a la empresa o al organismo a mandar una carta o un correo para informar a los afectados directos. “En cuanto te lo notifiquen, lo primero que tienes que hacer es poner una denuncia en la policía porque eso te servirá para un montón de cosas. Si alguien contrata con tus credenciales algún tipo de servicio, eso te servirá luego para decir que no es válido.”, recomienda Arribas.

El inspector de la Policía Nacional coincide en este consejo, ya que con ello, ya se deja constancia de la situación. Esto evita posibles problemas en caso de suplantación de identidad, con lo que ese riesgo queda contenido. No obstante, el de ser víctima de intentos de estafa no se mitiga con una denuncia ni mucho menos. Toca extremar precauciones. “Recomendaría ser muy cauto cuando se reciben llamadas que no esperas. SMS, correos. Procurar ser muy cauto con ese tipo de cosas. Y si alguien te dice que tienes una multa o una factura impagada, ponte en contacto con la empresa o el organismo oficial. No sigas el link que están dando”, dice BenBouazza.

Y es que la única manera de protegerse de un riesgo es ser consciente de que existe y de las formas que adopta. Las brechas de datos son una de las armas usadas para lanzar ataques, pero hay más. El inspector de policía repasa alguna de las posibilidades más graves que hay. Pueden llamar haciéndose pasar por un gestor del banco que advierte que el dinero de la cuenta está en peligro. El criminal va dando órdenes y pidiendo información y cuando el afectado se da cuenta, ya le ha facilitado el acceso al dinero.

Según cuentan los expertos consultados, es muy difícil que vacíen una cuenta bancaria de forma externa, pero no es tan complicado hacer que sea el propio dueño el que envíe el dinero, algo que posteriormente complica muchísimo su recuperación, ya que es el propio cliente el que ha dado las órdenes de entrega.

El inspector cuenta que anuncios de pisos de alquiler vacacional, de productos en sitios de compraventa de segunda mano u ofertas de trabajo son las excusas que más se suelen usar para obtener o bien los datos sensibles como el DNI, o el dinero de la víctima. “Se aprovechan de las necesidades de las personas. Son innovadores e inteligentes, y cada vez, más jóvenes”, describe sobre los ciberatacantes.

Jaime Álvarez, responsable del equipo rojo de la empresa de ciberseguridad Aiuken, el equipo encargado de realizar ciberataques para testar la calidad de las defensas, hizo una demostración en directo a la que acudió este periódico de cómo se pueden usar diferentes vías para atacar. Ya sea creando una red wifi de uso gratuito con la que el atacante ve todo lo que hace el que se conecta a ella, copiando la frecuencia que emite una llave de coche para abrirlo en cuestión de segundos, enviando páginas falsas de acceso a los servicios para sacar la información o aprovechando la falta de protección de dispositivos de domótica conectados a la red, todos los vectores de ataque comparten un elemento común: la excesiva confianza de la futura víctima.

¿Es posible reclamar a las empresas por haber filtrado tus datos?

Algunos ataques se pueden evitar siendo cauteloso, pero eventos como grandes filtraciones de datos en empresas son imposibles de prever y escapan a las capacidades de los usuarios. Entonces se abre otra pregunta, el si es posible reclamar a una empresa que ha hecho que los datos acaben donde no deben. La respuesta corta es sí, pero hay una cuestión clave que determina el éxito de la reclamación: la debida diligencia.

Paloma Arribas remite ante la pregunta a una sentencia del año pasado del TJUE. Un ciudadano búlgaro demandó a la Hacienda de su país porque sus datos fueron filtrados en una brecha. El ciudadano acusaba a la Hacienda búlgara de no haber guardado como era debido sus datos, y pedía una indemnización alegando que, la simple posibilidad de sufrir ciberataques por culpa de eso le generaba ansiedad. El TJUE le dió la razón al ciudadano y abrió la puerta a una indemnización, incluso sin haber sufrido ciberataque como tal.

“Por poder se puede pedir una indemnización, no obstante, el problema está en demostrar que se podría haber evitado de haber impuesto más medidas de seguridad. Como el riesgo cero no existe, las empresas se amparan en eso. El TJUE la resolvió que la falta de diligencia podía derivar en una indemnización”, cuenta Arribas. En el caso de la ola de ciberataques reciente, Arribas comenta que algunos de los ataques se hicieron a través de compañías que daban servicio a las empresas atacadas, no a través de un ataque directo de por sí. “Si se demuestra que finalmente a la hora de elegir proveedores no han sido suficientemente diligentes en lo que a medidas de seguridad a tener en cuenta se refiere, y finalmente se considera que el ataque podría haberse evitado fácilmente, ahí está la sentencia del TJUE”, soslaya.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días