Llevamos tiempo advirtiendo desde HackerCar: los cibercriminales no paran de inventar nuevas formas y maneras de llevar a cabo sus ataques, de tal manera que sus víctimas no dejan de crecer en número. Pero, como tampoco nos cansamos de repetir, en realidad bastan una serie de consejos e iniciativas a tomar para evitar que este tipo de sucesos ocurran o, de producirse, que sus consecuencias sean las menores posibles.
Esta semana, según han destacado los expertos de la web Hacker Hispano, la filial española de la marca Hyundai habría sido víctima de un ciberataque… que habría tenido como consecuencia el robo de información de la marca, sus clientes y sus vehículos. Sin embargo, en las últimas horas, se ha comprobado que clientes de la marca en países como Italia y Francia, también estarían recibiendo misivas procedentes de Hyundai para informar de lo sucedido.
Los robos de información que tienen como objetivo el mundo del motor se está convirtiendo en algo familiar, si tenemos en cuenta que, recientemente, tanto Ferrari como una red de concesionarios de Ford -concretamente en Cataluña- se habrían visto afectadas por casos muy similares.
En todos estos casos, hablamos de un ciberataque llevado a cabo mediante la técnica que se conoce como ransomware. Consiste en que el ciberdelincuente consigue extraer y descargarse información de un usuario -sea particular o empresa-, con el objetivo de filtrarla o hacerla pública si el propietario se niega a pagar un rescate -en moneda virtual- a cambio de recuperarla, liberarla o desencriptarla.
Lo más sorprendente de todo esto es que este tipo de ataque se lleva de forma remota, sin que el pirata informático haya tenido que poner ‘un dedo’ en el servidor o en el ordenador donde esté almacenada la información. ¿Cómo es posible? Gracias a que en la práctica totalidad de los casos, suele contar con la inestimable ayuda de un cooperador necesario, que suele ser el propio usuario afectado.
No es que sea algo que se haga conscientemente: basta tan solo con que la víctima habrá algún correo con algún enlace o se descargue algún tipo de archivo aparentemente inofensivo… para que se ejecute algún programa que contiene un virus y que queda instalado en el ordenador.
Una vez dentro del equipo, el cracker podrá campar a sus anchas, robar la información que desee y, lo peor de todo, actuar sin que la persona o empresa afectadas se den cuentan hasta pasado un tiempo, que pueden ser semanas -según Sophos, la media son 52 días, tal y como nos contaron en la última edición del Foro ASLAN-… con lo que la capacidad de reacción de las víctimas será limitada. Lo siguiente que sucederá es que el ciberdelincuente -que, por lo general, pertenece a un grupo u organización- intente extorsionar o chantajear al propietario legítimo de los datos, asegurando que de no recibir una determinada cantidad de dinero, procederá a liberar la información.
Hay que recordar que la información robada, aparte del trastorno en sí que supone, puede suponer un grave problema de cara a la Ley de Protección de Datos, que puede imponer multas, en el peor de los casos, que ascienden hasta los 20 millones de euros o el 4% de la facturación de una empresa, en caso de demostrarse que los datos que se manejan no están suficientemente bien protegidos.
¿Qué ha pasado con Hyundai en España?
Precisamente, estos días ha salido a la luz el caso de Hyundai, que habría sido víctima de un caso de ransomware; de momento, se conoce que habría afectado a las filiales de España, Francia o Italia. Según cuentan desde HackHispano, en el caso concreto de España la propia marca coreana habría hecho saber a sus clientes, mediante carta -y con un contenido prácticamente idéntico en todos los países afectado- que ha sido víctima de un ciberataque, siendo la consecuencia una filtración de datos entre los que habría correos electrónicos, direcciones postales, teléfonos y datos de vehículos -se da por hecho de que de sus clientes-.
Por otro lado, Hyundai también asegura que no se habrían visto afectados otro tipo de datos aún más sensibles, como pueden ser los relacionados con información financiera o números de identificación oficial -haciendo referencia al DNI-. Como advertencia, la marca Hyundai anima a que se compruebe “cualquier intento de correo por contacto electrónico, postal y/o mensaje de texto que pueda parecer que proviene de Hyundai España o de otras entidades del Grupo Hyundai Motor”.
Aquí, hay que destacar algo interesante y es que Hyundai está haciendo referencia a otro ciberataque que se puede derivar del robo de datos que ellos sufrieron: nos referimos a la suplantación de identidad o phishing. En este caso, es un tipo de crackeo que consiste en hacerse pasar por alguien -en este caso, un delincuente que habla en nombre de Hyundai-, con el objetivo de conseguir información sensible.
En este caso, un posible pirata informático podría aprovechar los datos de usuarios de modelos de esta firma coreana para hacerles llegar un mail con una estética ‘corporativa’ similar a la que utilizan en esta firma, para pedirle al propietario de algún modelo, algún dato relacionado, por ejemplo, con el número de cuenta u otra información bancaria con la que está llevando a cabo el pago financiado de su coche.
Para lograrla, seguramente el delincuente pedirá a la víctima que pulse sobre algún tipo de link o enlace que le redireccionará a alguna página, con un diseño seguramente idéntico a la imagen de la marca, para proseguir con el intento de obtener más información.
Volviendo a la información de Hyundai, prosiguen advirtiendo que la gente tenga cuidado con los posibles enlaces que lleguen a sus clientes a través de comunicaciones de la marca, justo por lo que acabamos de comentar. Por lo demás, concluye HackHispano diciendo que ka compañía ha bloqueado el servidor afectado, además de desconectarlo permanentemente de la red. Finalizan diciendo que “seguimos trabajando con nuestros equipos informáticos para garantizar que nuestros sistemas mantienen un alto nivel de seguridad”.
Qué han hecho bien… y qué pueden hacer aún mejor
Hay varios aspectos en los que Hyundai demuestra que está manejando la situación con acierto. Por ejemplo, el simple hecho de hacerlo público, es un punto a su favor, pues reconoce lo que ha sucedido y ayuda a que sus clientes o los posibles afectados estén ‘en guardia’. Es más, no han dudado en enviar un comunicado a su clientes que, con el asunto “Información y recomendaciones sobre incidente de protección de datos”, comienza diciendo que: “lamentablemente, a pesar del altísimo nivel de medidas de protección que aplicamos en nuestros sistemas tecnológicos y nuestros continuos esfuerzos para mantener el más alto nivel de ciberseguridad, nuestra empresa ha tenido conocimiento recientemente de que un tercero no autorizado ha accedido a cierta información de nuestra base de datos de clientes”.
Además, en cierta forma se asume el ciberataque con ‘normalidad’, sin ocultarlo… entre otros motivos, porque saben que han actuado de la manera adecuada. También, en el caso de Hyundai España, ha puesto en marcha vías de comunicación para que los clientes que puedan sentirse afectados o tengan alguna duda puedan contactar con ellos, ya sea vía telefónica -en el 900 622 110- o por correo electrónico –incidencias@hyundai.es-.
Por otro lado, el hecho de haber desconectado el servidor afectado también es una medida adecuada… al menos, para evitar nuevas sustracciones de información, si bien eso no impide que los datos robados ya no se puedan recuperar. En cualquier caso, el hecho de que se haya podido acceder a un tipo de información -más personal- pero no a otra -más ‘bancaria’-, demostraría que existe una adecuada compartimentación de los servidores, lo cual también es una medida apropiada.
Además, desde Hyundai España, y por boca de su Director General, Polo Satrústegui, aseguran haber tomado medidas junto a expertos en ciberseguridad, así como con sus abogados, al tiempo que han puesto en conocimiento de la AEPD los hechos ocurridos.
¿En qué pueden mejorar aún? Por un lado, hace falta más concienciación para evitar que sucedan este tipo de ataques… que siempre tienen, como punto de partida, el error de una persona. Se suele decir que el ‘factor humano’ es el eslabón más débil en la cadena de la ciberseguridad y para evitarlo, lo mejor es la concienciación. Y para ‘fortalecer’ ese eslabón, lo mejor es la concienciación y la formación en ciberseguridad.
Como destaca nuestro experto, Josep Albors, responsable de investigación y concienciación de ESET, “los cursos de preparación y contar con nociones básicas son más que necesarios, y todas las empresas de dentro y fuera del sector deberían, al menos, plantearse, su implantación”. Y es que Albors, lo tiene muy claro al respecto: “No existen enemigos pequeños, pero sí descuidos muy grandes“.
Desde HackerCar llevamos cuatro años ejerciendo esa labor informativa y de concienciación; además, a ello hay que sumar que la empresa Grupo CYBENTIA a la que pertenecemos, también dispone de un área de formación con cursos de ciberseguridad aplicados a la movilidad/automoción.
Un último consejo es utilizar la herramienta que, tanto para PYMEs como para una gran empresa del motor, un fabricante de componentes… puede ser útil y que creó la AEPD. Es un instrumento que, sobre todo, resulta muy sencillo de utilizar, porque tiene forma de cuestionario y que sirve para guiar al titular o responsable de datos de la empresa a través de una serie de preguntas sobre las características del incidente; cuando las respondes, el propio sistema irá facilitando una serie de consejos, acciones y medidas que debes tomar y que ayudarán a tomar decisiones.
Como curiosidad, esta herramienta es anónima en el sentido de que nada de la información que aporte el responsable o titular de la base de datos «se almacena o permite la identificación del afectado». Por otro lado, existe un formulario para comunicar incidentes en la sede electrónica de la AEPD, que sirve para comunicar de manera también sencilla una posible brecha de seguridad que hayamos sufrido.
¿Y cómo es el proceso para manejar la herramienta? Según nos muestra INCIBE, lo primero que te pregunta es que indiques el sector de actividad al que se dedica la empresa de entre 11 opciones, que van desde la sanidad o publicidad hasta los servicios financieros, entre otros.
El segundo paso consiste en dar detalles sobre la brecha de seguridad -por ejemplo, sobre el origen del incidente o la naturaleza del mismo, es decir, si fue intencionado, accidental, de origen desconocido o provocado por un ciberincidente-.
Más tarde tienes que dar datos sobre las consecuencias que ha provocado dicho incidente «sobre la estructura de los datos y su consistencia, el grado de afectación o si han sufrido alteración que imposibilite su uso o su disponibilidad.
También es necesario incluir el tipo de datos que se han visto afectados por la brecha de seguridad -es decir: personales, financieros, de geolocalización, privados o de salud…- y si pertenecen a personas o colectivos que requieren de una especial protección, como es el caso de menores y víctimas de violencia de género o en riesgo de exclusión social, así como el número aproximado de personas afectadas.
Evidentemente también es necesario señalar en qué fecha tuvo lugar el incidente… o más bien cuándo se tuvo constancia del mismo. Una vez que se facilita toda la información, es la AEPD la que emite un dictamente no vinculante sobre cuáles son las acciones que habría que realizar de acuerdo a la información suministrada.
