Jordi Serra (UOC): “Los ‘hackers’ atacan a las empresas de moda a través de sus proveedores”

Jordi Serra es doctor en informática por la Universitat Oberta de Catalunya, donde trabaja como profesor de los estudios de informática, multimedia y telecomunicación. Está especializado en técnicas de marcas de agua digitales, análisis forense digital y detección de manipulaciones. Conoce bien el ecosistema empresarial y asegura que nadie se libra: ni las pequeñas compañías, a menudo poco aseguradas ante la ciberdelincuencia, ni las grandes, en contacto con un alto número de proveedores y clientes. 

Pregunta: En los últimos meses ha habido un gran número de empresas, sobre todo de la industria de la moda, que han sido víctimas de ataques de los hackers. ¿Hay una nueva oleada de ataques o es algo habitual?

Respuesta: Es algo habitual. No es que haya una oleada, sino que los hackers van probando empresas y, básicamente, lo que encuentran a nivel de internet. A veces, es incluso de manera aleatoria: probando IPs. Normalmente hay un rango de empresas que dependen de un servidor y, entonces, todas lo sufren. No van a por un sector en concreto, van a por todos.

P.: El ataque más reciente en la industria de la moda ha sido hacia el gigante del lujo LVMH, que ha sufrido incursiones en varios puntos del planeta. ¿Hay empresas más atractivas que otras para los hackers?

R.: Sin duda. Es un tema de rentabilizar la inversión. Los ciberdelincuentes intentan atacar a todas las empresas, pero dedican un poco más de esfuerzo a aquellas que saben que rentabilizarán mucho más el ataque, es decir, las que pueden pagar más por un rescate. El nivel de facturación de LVMH y una empresa familiar es muy diferente, y los hackers lo saben. Sin embargo, las grandes empresas ya dedican dinero a asegurar que nadie les entre. En cambio, las pequeñas empresas, no. Por eso no sólo se ataca a las grandes. Si atacan a diez pequeñas, prácticamente se aseguran de cobrar, porque saben que no están aseguradas, que no dedican recursos a asegurar la infraestructura de la red.

P.: Habla de recuperar la inversión. ¿Es caro atacar a una empresa?

R.: Cada vez menos, porque actualmente la Inteligencia Artificial lo automatiza todo. Cuando van a atacar a una empresa, la IA obtiene toda la información posible de los servidores, de páginas web, perfiles de Facebook, de X… De absolutamente todo. Las grandes empresas tienen mucha información, las pequeñas menos. Antiguamente esto lo hacía una persona, o un grupo de personas. Ahora, los que llegan más lejos son los que se han profesionalizado. Con la IA se pueden crear ataques más personalizados, focalizados en cada empresa. Saben cuáles son sus clientes y sus proveedores, así que los documentos o los correos electrónicos que portan el malware son mucho más creíbles. Hasta ahora, eran muy generales. A día de hoy, se hacen muy particulares para cada empresa, muy creíbles.

“Con la IA puedes crear ataques más personalizados, focalizados a cada empresa. Saben cuáles son sus clientes y sus proveedors, crean correos muy creíbles” 

P.: ¿Cuánto puede pedirle un hacker a una empresa por el rescate?

R.: Los rescates no suelen salir a la luz. La empresa pública sí que está obligada a avisar, pero la privada no, aunque se aconseja que haga la denuncia. Los hackers hacen un estudio y saben perfectamente cuánto factura cada empresa. Normalmente se pide la facturación de un año completo y, entonces, empiezan las negociaciones. El hacker pide el dinero que sabe que tienen, y las empresas tiran a la baja. Al final, se llega a un acuerdo, y normalmente la empresa paga. Eso sí, los hackers ya tienen esos datos. Nadie le asegura a la empresa que, al cabo de tres meses, la vuelvan a chantajear otra vez. También es cierto que muchas veces piden barbaridades, cantidades desorbitadas, incluso a una empresa pequeña que no factura esa cantidad ni en diez años, porque saben que habrá regateo.

P.: ¿Diría que la moda es más sensible que otros sectores a estos ataques?

R.: Sí, es más sensible por las tiendas online. Estamos mucho más acostumbrados a interactuar de manera digital. El problema, muchas veces, viene de la cadena de proveedores. Una empresa de moda puede tener muy bien asegurados sus servidores de venta online, actualizados, para que nadie pueda entrar. Pero la atacarán a través de los proveedores, sobre todo de los más pequeños, que no suelen estar asegurados. Pueden hacerlo, por ejemplo, con los correos con los que le envían las facturas. Es muy usual recibir las facturas de los proveedores a final de mes en forma de PDF. La empresa, acostumbrada a recibirlo, lo abre. Y, dentro, está el troyano. Por eso es vital asegurarse de que los proveedores, con los que más confianza tenemos, estén asegurados. Cuando nos llega un correo electrónico diciendo que el proveedor ha cambiado de cuenta bancaria, no cuesta nada hacer una llamada para asegurarse. Siempre hay que desconfiar. Porque después no hay marcha atrás. Aunque sea una estafa, el banco te dice que la transferencia está bien hecha, que la ha autorizado la empresa. Si has enviado un dinero a una cuenta que no tocaba, ese es tu problema, no el del banco.

P.: Las grandes empresas suelen tener un departamento de seguridad, las pequeñas no tanto. ¿Qué le recomendaría a estas últimas?

R.: Que se unan. Siempre que se pueda, que se asocien con empresas del mismo ramo. Que se agrupen en patronatos, asociaciones, lo que sea. Si cuatro o cinco empresas se alían, aunque sean pequeñas, podrán contratar a un par de personas o a una compañía pequeña que entienda muy bien cuál es el negocio de cada una para protegerlas. Conocer internamente a la empresa, desde el punto de vista de la seguridad, hace mucho.

P.: ¿Es necesario crear un comité de seguridad?

R.: Es importante, sí. Depende del nivel del tamaño de la empresa que sea más viable o menos. Los directivos tienen que tener muy claro que hay que invertir en ciberseguridad. El problema está en que la inversión en ciberseguridad no es un retorno directo al negocio, sino que es un retorno indirecto que aparece cuando te atacan y consigues repelerlo, o reponerte en un día y no tardar quince días en volver a vender. Y también es importante el después. Cambiarlo todo para que no vuelvan a entrar.

“La inversión en ciberseguridad no tiene un retorno directo. Pero, en ocasiones, significa reponerte en un día y no tardar quince en volver a vender”

P.: ¿La inteligencia artificial puede elevar la vulnerabilidad de las empresas? ¿Puede ponerlo más fácil todavía?

R.: Sí, porque se investiga a las empresas mucho más rápido. Pero, desde otro punto de vista, también puede servirle a la propia empresa para buscar patrones anómalos. Detectar IPs que no son normales, con tráficos extraños, a horas que no cuadran. Para ello tienes que haberle enseñado antes cuáles son los comportamientos normales, claro.

P.: En cuanto a regulación, ¿diría que llega tarde la regulación sobre privacidad y datos a la Unión Europea?

R.: No es que llegue tarde, es que la tecnología siempre va por delante. No podemos regular algo que no existe. Además, ahora la privacidad de los datos ya está regulada en la Unión Europea.

P.: Y, esta regulación, ¿puede lastrar también el desarrollo de la inteligencia artificial?

R.: Sí, siempre y cuando se usen datos personales. Cuando los datos son generales, no hay problema. Por ejemplo, el algoritmo no puede aprender el consumo de una persona en concreto. Pero, si los datos son anónimos, de un conjunto de hogares, eso sí lo puede hacer. Anonimizar los datos para que el algoritmo pueda aprender y pueda usarlos es legal. Y, a nivel de usuario, puedes usar la Inteligencia Artificial para saber cómo los clientes navegan en la página web, sin identificar a la persona.

P.: ¿Faltan profesionales especializados en ciberseguridad?

R.: Dicen que sí. Las empresas nos dicen a las universidades que faltan profesionales. Pero faltan profesionales muy específicos. El problema es que cada empresa tiene una problemática concreta. Es complicado poder formar a gente específica para cada una.

P.: En un mundo lleno de aranceles y amenazas geopolíticas varias, ¿qué posición debe ocupar la ciberseguridad en la agenda de un consejero delegado?

R.: Pues bastante alta. En moda, además, destaca el hacktivismo. Hackers que se mueven por la ideología. Se juntan para atacar a empresas con las que no comulgan ideológicamente. Se me ocurre el ejemplo de Zara. Alguien se centra en que las prendas se están fabricando en Filipinas o Tailandia, y entiende que eso no es ético. Entonces la atacan. No es por dinero, es por ideología. Entre estados pasa mucho y se está traspasando a nivel de empresa. Se busca su desprestigio.