El robo de datos a Iberdrola, Telefónica y Santander es la prueba de un fallo más grave

14 de mayo. El Banco Santander se ve obligado a comunicar a la CNMV que ha sufrido un ciberataque y el robo de datos personales de clientes en España, Chile y Uruguay, además de los datos de "todos los empleados y algunos exempleados". No hay cifra oficial de afectados, pero se trata de varios millones. 28 de mayo. Telefónica anuncia que investiga un ciberataque que ha supuesto la filtración de información de 120.000 clientes. 29 de mayo. Iberdrola asegura haber sido víctima de otro ciberataque tras el que han robado los datos de 850.000 clientes. Estas tres graves intrusiones en apenas dos semanas han hecho sonar las alarmas entre las firmas del Ibex. Sus directivos de tecnología no lo ven claro. ¿Estamos ante una serie de ataques coordinados? ¿Hoy es Iberdrola, Telefónica y Santander, pero mañana será Inditex o CaixaBank? ¿Qué está pasando de verdad?

"El Ibex está ahora mismo en modo paranoia. He hablado con varios jefes de tecnología de cotizadas y están de los nervios. Les da mucho miedo que esto haya pasado en una secuencia tan corta de tiempo. Todos se preguntan lo mismo, si son casos aislados o parte de una misma campaña y ellos serán los siguientes", explica a este diario Román Ramírez, especialista en ciberseguridad y exjefe de arquitectura de ciberseguridad de Ferrovial. Fuentes consultadas que investigan dos de los tres ciberataques, manifiestan la misma preocupación. Sobre todo porque en uno de esos casos, afirman, el ataque "podría haber sido evitado".

A los ataques en España, se han unido otros ocurridos fuera, como el de Ticketmaster, con más de 560 millones de clientes afectados, o Mistubishi. ¿Tienen relación? Según la firma de inteligencia en ciberseguridad Hudson Rock, sí. En el centro del asunto estaría el hackeo al proveedor estadounidense de servicios en la nube Snowflake. Hudson Rock asegura haber confirmado que varios cibercriminales se han colado hasta la cocina en los sistemas de Snowflake usando simplemente las contraseñas robadas de uno de sus empleados. El resultado: más de 400 empresas de todo el mundo que guardan sus bases de datos de clientes en los sistemas de Snowflake, entre ellas Ticketmaster, Telefónica, o Santander, se han visto afectadas.

Horas después de conocerse el informe de Hudson Rock, Snowflake se ha desmarcado del mismo y ha asegurado en un comunicado, sin nombrar ni a Hudson Rock ni al informe, que no existen pruebas que sugieran que las filtraciones de datos "hayan sido causadas por una vulnerabilidad, configuración incorrecta o infracción de Snowflake. No creemos que seamos la fuente de ninguna filtración de datos de clientes", aseguran. Desde entonces, Hudson Rock ha eliminado el mencionado informe y Snowflake asegura que, tras una nueva investigación, en la que han participado las firmas de ciberseguridad CrowdStrike y Mandiant, "no hemos identificado evidencia" que sugiera que lo ocurrido ha sido por un hackeo a su plataforma.

Sea como fuere, la realidad es que las filtraciones se han producido. La gravedad del asunto se puede entender echando un vistazo a los datos filtrados en el ataque al Banco Santander. La entidad aseguró que se trataba de información "muy básica, nada con lo que se pueda operar". Señalaba que solo se habían robado nombres, apellidos, DNI, fechas de nacimiento y poco más. Como siempre ocurre en estos casos, la estrategia de las empresas es minimizar y tapar lo ocurrido. La realidad es muy diferente.

El especialista en ciberseguridad Germán Fernández publicó en las últimas horas un pantallazo de los datos robados al Santander que ya estaban a la venta en internet: 30 millones de datos personales de clientes, 64 millones de números de cuenta y saldos, 28 millones de tarjetas de crédito y listas de empleados de RRHH. ¿El precio? Dos millones de euros. Puede parecer una barbaridad, pero es una ganga.

"Teniendo en cuenta lo que se puede hacer con esa información, eso es calderilla", asegura a este diario un especialista en ciberseguridad que prefiere no desvelar su nombre. "Es un precio muy razonable, van a volar, si es que no los han comprado ya. Eso le puede interesar hasta a las agencias de inteligencia de varios países. Imagínate la cantidad de información adicional que pueden tener sobre posibles investigados", apunta otra fuente, especialista en detección online de bases de datos robadas.

El patrón del ciberataque al Santander se ha repetido, punto por punto, en el caso de Telefónica e Iberdrola. Primero, en la estrategia de minimizar lo ocurrido por parte de las empresas. Iberdrola aseguró primero que había 600.000 clientes afectados. Luego subió la cifra a 850.000, pero explicó que solo se trataba de datos personales. Según ha podido confirmar este diario por fuentes conocedoras del ataque, se han filtrado también números de cuentas corrientes y otros datos financieros. Los datos ya circulaban también a la venta en diversos grupos de Telegram.

Pero hay otro hilo en común más importante: las tres compañías aseguran que el ciberataque se produjo por un acceso no autorizado a "proveedores externos". En el caso del Banco Santander y en el de Telefónica, este diario ha podido confirmar que la firma atacada fue la estadounidense Snowflake, proveedor de ambas compañías y con la que Telefónica firmó acuerdo el pasado septiembre. Contactados por este diario, fuentes de Telefónica reconocen el ciberataque, pero aseguran que "la investigación llevada a cabo confirma que ni los clientes residenciales ni los empleados se han visto afectados por el acceso no autorizado a datos básicos y no sensibles".

La investigación realizada con posterioridad por la firma de ciberseguridad Hudson Rock confirma este punto. El gigantesco hackeo a Snowflake, que va a pasar a ser uno de los mayores de los últimos años, está en el centro de todas estas filtraciones masivas de datos.

"Las empresas se escudan en que el fallo es de sus proveedores. Pero ellas ceden sus bases de datos de clientes a terceros para abaratar costes"

En el caso de Iberdrola, la empresa externa que sufrió el ciberataque, según ha podido confirmar El Confidencial, fue su proveedor del call center, la española Konecta, presidida por el empresario José María Pacheco. Es decir, no guardaría relación con lo ocurrido con Snowflake, pero la situación es similar: un proveedor externo está en el foco de la filtración.

Konecta tiene más de 500 empresas clientes distribuidas en 26 países, pero su fuerte está en España y Latinoamérica. Trabaja con un buen número de organizaciones del Ibex y otras firmas españolas de gran tamaño. Dicho de otra forma: si alguien se cuela en los sistemas de Konecta, como ha ocurrido con Iberdrola, podría tener acceso potencial a las bases de datos de cientos de empresas. En total, miles de millones de registros que se pueden vender por una fortuna en la red.

Consultado por este diario, un portavoz de Konecta reconoce el robo de información. "Hace unas semanas, nuestra red en Chile sufrió un acceso no autorizado y consiguieron capturar información del sistema informático de uno de nuestros clientes. Desde el primer momento, hemos trabajado de manera conjunta para determinar las causas del acceso no autorizado. No hemos detectado ninguna actividad sospechosa en otros clientes del Grupo Konecta. Nuestras medidas de ciberseguridad siguen altos estándares y trabajamos con nuestros clientes para mitigar lo máximo posibles ataques de este tipo", explican. El Confidencial se ha puesto también en contacto con portavoces de Iberdrola para conocer su versión. A la hora de cierre de este artículo, no se ha recibido respuesta.

TE PUEDE INTERESAR

La Policía detiene de nuevo a Alcasec, el 'hacker' que reventó los sistemas del Estado

Manuel Ángel Méndez

"Estamos ante un problema enorme, el de las cadenas de suministro, que es el eslabón débil. Las empresas se escudan en que el fallo es de sus proveedores. Es como si no fuera con ellos. Pero son ellas las que ceden sus bases de datos de clientes a terceros con el único objetivo de abaratar costes. Si estos proveedores no establecen fuertes medidas de seguridad para minimizar el daño de un ciberataque, al final acabamos con filtraciones masivas como las que estamos viendo", explica un especialista en ciberseguridad involucrado en investigar los ciberataques.

Esta y otras fuentes señalan una variable clave adicional: el componente humano. "Cada vez más, estos ataques los están llevando a cabo chavales muy jóvenes y autodidactas. Muchos tienen amigos que trabajan en estos proveedores, que cobran cuatro duros, que están quemados y al final les pasan a los cibercriminales las contraseñas o lo que necesiten a cambio de dinero. Esa suele ser la puerta de entrada", explican. Otras veces, no hace falta ni que conozcan a nadie dentro. "Rastrean a empleados de estos proveedores, ven en sus redes sociales que está hasta las narices del trabajo, y les contactan: "¿Quieres ganar 50.000 o 100.000 euros fácil? Nadie te va a descubrir, quedará todo en secreto". Estos les facilitan las credenciales de los sistemas, y a correr", señala otra fuente.

El resultado es que todos ganan, menos el usuario final. Las empresas hackeadas comunican lo ocurrido a las autoridades (obligadas por ley), pero, de puertas hacia fuera, capean el temporal reconociendo un daño real menor. Los cibercriminales se embolsan millones sin que nadie les cace (dado el volumen de delitos, es imposible investigarlos todos a fondo). Y los clientes se olvidan de lo ocurrido al día siguiente de leerlo en los medios. Pero el daño perdura. Esos datos filtrados acaban usándose para todo tipo de delitos, pero principalmente ciberestafas.

De toda la actividad delictiva registrada en España en 2023, el 25% fueron ciberdelitos. Y, de estos, el 90% ciberestafas. Y no paran de crecer, un 27% respecto al 2022 y un 508% en los últimos ocho años, según el último balance de criminalidad publicado por el Ministerio del Interior. Esos SMS fraudulentos que recibes supuestamente de tu banco o de la empresa del gas, esas llamadas de alguien que te ofrece empleo, esos emails que parecen reales, pero no lo son. La gasolina que alimenta esa maquinaria son filtraciones de datos como las que estamos viendo estos días, registros con los que las empresas dicen que "no se puede operar", pero que acaban moviendo miles de millones de euros en estafas.

¿Qué está fallando? "No es un tema de si te van a entrar o no. Lo van a hacer. Es un tema de hasta dónde pueden llegar una vez están dentro. Eso es lo que hay que planificar al milímetro, tanto la empresa como su proveedor. Si tienes sistemas estancos, usuarios externos con privilegios limitados y datos cifrados, ya te aseguras un buen control de daños", explica un especialista en ciberseguridad.

Otros, como Ramírez, apuntan a una falta de recursos dentro de las empresas para tapar todos los posibles frentes. "No tienes 1.500 personas para ocuparte de todos los proveedores. Te tienes que fiar. Te dicen que lo tienen todo bajo control, que los protocolos de seguridad están en su sitio. Muchas veces, sabes que te están mintiendo. Pero, ¿qué vas a hacer? ¿Le cuentas a tu CEO que la empresa que él o ella acaba de seleccionar te miente a la cara?".