El número de 'ciberataques' graves en España se duplicó en 2010 - La globalización y las nuevas tecnologías alientan el interés por la obtención ilícita de información de las empresas
La fábrica de Airbus Military en Sevilla está en la recta final del montaje de su primer A400M de serie, un avión militar que acortará a la mitad el tiempo que tarda el Ejército en rotar el personal en Líbano y no necesitará escalas para llegar a Afganistán.
La fábrica de Airbus Military en Sevilla está en la recta final del montaje de su primer A400M de serie, un avión militar que acortará a la mitad el tiempo que tarda el Ejército en rotar el personal en Líbano y no necesitará escalas para llegar a Afganistán. Apenas requiere 1.000 metros para aterrizar y despegar, puede operar en pistas no preparadas e incluso reabastecer a otros aviones en vuelo. Lo que no se conoce tanto es que el programa ha sufrido objeto de varios intentos de espionaje y ciberespionaje. "Incidentes", como señalan escuetamente los portavoces del Centro Nacional de Inteligencia (CNI).
El consorcio EADS y siete estados, entre ellos, España, llevan años trabajando en este proyecto, una de las grandes apuestas militares europeas. Personal del CNI ha controlado de forma directa a todas las empresas que participan en la construcción del avión militar, para evitar filtraciones que pusieran en riesgo la seguridad nacional. Ha obligado a reforzar todas las medidas de seguridad internas, y ha puesto bajo lupa a todos los técnicos e ingenieros enfrascados en el proyecto.
Empresas que espían a otras empresas. Estados a otros estados. Políticos que investigan compañías extranjeras de sectores estratégicos (energía, transporte o defensa) y al revés... La globalización de los mercados y todas las posibilidades que ofrecen las nuevas tecnologías han disparado las amenazas en materia de espionaje.
"La información de calidad es muy valiosa y se vende muy cara. Cada vez hay más interés por lograrla, de modo que algunas empresas cruzan la línea de la legalidad para obtenerla y, con las nuevas tecnologías, es más fácil", explica a modo de contexto el responsable de Inteligencia Económica del CNI, que omite su identidad.
La diferencia entre inteligencia y espionaje, explican siempre desde el CNI, es que el primero obtiene la información de forma lícita y el segundo no, ya sea por medios informáticos o mediante técnicas de espionaje tradicionales.
España sufrió 80 ciberataques "graves" el año pasado en sistemas informáticos de administraciones e instituciones clave; el doble que los recibidos el año anterior, según los datos del Centro Criptológico Nacional (CCN), que es la sección que vela por la seguridad de las tecnologías de la información en las administraciones públicas y depende del CNI.
La mayor parte de estos casos consistieron en códigos dañinos, es decir, programas que sacan información de los ordenadores, son capaces de controlar los envíos de información e incluso de capturar las pulsaciones que se producen en los ordenadores. ¿Qué daños causaron exactamente esos ataques? ¿De dónde procedían? Javier, del CCN, calla a lo primero, y, respecto al origen explica que "es difícil trazar todo el recorrido de un ataque, llega un momento en que las direcciones de Internet se quedan en un determinado país en el que es seguro que no se ha podido crear esa agresión, y solo se tiene indicios de quién puede estar detrás".
Aunque sus competencias se circunscriben a las administraciones públicas (es decir, todo ordenador de ministro, alto cargo e instalación pública), al Centro Criptológico llega a veces la información de ataques a empresas privadas, a las que entonces avisan.
El boom tecnológico ha abaratado y hecho más accesible muchas cosas, y también el espionaje: muchas veces resulta más asequible colar un programa troyano en un ordenador para causar daño o robar información que infiltrar durante meses o años a alguien dentro de una compañía o sobornar a un alto cargo. Aunque esto también se hace.
Es algo así lo que la francesa Renault cree haber sufrido dentro de su empresa. La compañía automovilística ha suspendido de empleo y sueldo a tres altos directivos a los que ha denunciado por vender a la competencia datos sobre su proyecto estrella: el coche eléctrico.
El de la investigación automovilística es un mundo lleno de secretos y muy -muy- competitivo. Renault, después de dejar el caso en manos de la justicia, se niega a hacer cualquier comentario a este diario sobre el caso. No obstante, nada más salir a la luz el caso, a principios de enero, el número dos de la compañía, Patrick Pelata, sí aseguró que el grupo había sido víctima de "un sistema organizado de recoger informaciones económicas, tecnológicas y estratégicas para servir a intereses situados en el extranjero".
La agencia de detectives que la empresa contrató en agosto, a raíz de una denuncia interna, apunta a unos intermediarios que transmitieron los secretos industriales a fabricantes chinos, que serían el espionaje, según publicaron los medios franceses hace unas semanas.
"La globalización de los mercados lo ha acentuado todo: lo que es inteligencia y lo que es directamente espionaje", apunta José González Cussac, catedrático de Derecho que ha investigado en el campo de la inteligencia económica.
"El 80% de la información valiosa viene en realidad de fuentes abiertas", apunta. ¿Es delito seguir los pasos de alguien por un espacio público? "No". ¿Es delito pinchar el teléfono de una empresa rival? "Sí". En algunos casos la diferencia entre espionaje e investigación es claro, pero otros ejemplos se adentran en zona de penumbra. ¿Es delito pagar a alguien porque te cuente los chismorreos de su empresa? Así, a bote pronto, parece que no, pero depende de los matices.
"Hoy en día se espía, se espía mucho", sentencia José María Vilamajó, director de la agencia Winterman, una de las grandes compañías españolas que se dedica a esta labor. "Para nosotros el número de casos por espionaje industrial se ha duplicado en cuatro años. Y hasta el 30 de septiembre de 2010, se han presentado 350 casos en toda España", explica.
Vilamajó está convencido de que la crisis económica ha agravado el problema, porque los conflictos laborales son un caldo de cultivo idóneo para el mal uso de información. "Empleados que no saben si van a ser despedidos, que se sienten mal pagados o mal tratados... Los interesados en obtener esa información conocen las crisis de cada empresa y saben quién es vulnerable para tentarle", advierte. El director de Winterman apunta además a un fenómeno en expansión, el denominado espionaje express: "Una persona se acerca en la calle a un empleado que tiene previamente escogido y le ofrece 15.000 euros si le entrega una información concreta, ya sean datos de clientes, precios de proveedores o proyectos, un plazo de 24 horas. Si el otro accede, la saca y al día siguiente fin de la historia".
Una división de su agencia especializada en información digital, Incide, estuvo trabajando un caso de espionaje en Barcelona que se ha saldado estos días con una condena de cárcel: tres años de prisión para un directivo que recopiló y filtró información de la consultoría en la que trabajaba, Alten, para otra compañía de la competencia por la que acabó fichando.
La sentencia declara probado que, entre el 30 de octubre y el 7 de noviembre de 2007, el directivo reenvió desde el ordenador de su empresa a sus cuentas personales "numerosa información" reservada, "como datos de clientes, currículos de ingenieros trabajadores de Alten, ofertas o propuestas de ejecución de proyectos enviadas a sus clientes o solicitudes de propuestas de ejecución técnicas" remitidas por ellos. Al día siguiente de finalizar la filtración de documentos, dejó la compañía.
Hay situaciones que abonan las sospechas. Si alguien solicita un empleo en una empresa y a los seis meses se va sin motivo aparente y sin otro empleo, y ha tenido acceso a información valiosa, la empresa debería llevar a cabo un buen chequeo de sus equipos informáticos para ver si ha salido información.
También puede ocurrir al revés: una empresa le dobla el sueldo a un directivo para ficharte, le sacan toda la información que pueden de su empresa anterior y le echan con 45 días de salario como indemnización. Y a veces es más fácil hacerse directamente con un ordenador. Desde la Oficina Nacional de Seguridad (ONS), que depende del director del CNI, José explica que el robo o intentos de robo a ordenadores portátiles de personas enfrascadas en proyectos crece cuando hay importantes contratos en juego, y pone como ejemplos la industria naval y de Defensa.
Otras fuentes concretan que este tipo de incidentes se registraron en proyectos como el Eurofighter o cuando se negociaba un importante acuerdo de venta de fragatas militares con Venezuela. La ONS ayuda a las empresas a proteger su información e investiga el nivel de seguridad de las mismas como requisito para adjudicarse contratos con las administraciones, ya que van a tener acceso a información clasificada.
Y, para clasificada o secreta, la receta de la Coca-Cola, que ha creado toda una mística muy marketiniana en torno a sí misma. La receta y su tan traído y llevado ingrediente secreto, dice su portavoz en España, está guardada en la cámara acorazada del Sun Trust Bank de Atlanta y solo la conocen dos directivos de la multinacional.
La compañía tiene sus medidas de seguridad, tal y como explica el portavoz: "Cada dos meses se imparten cursos de seguridad y hay códigos de conducta al respecto, lo primero que te dicen es que debes ser consciente de la información que manejas, que no la compartas con personas de tu entorno no laboral y se sabe quién imprime cada documento, se trituran los papeles, hay diferentes claves para cada parte del ordenador...". Pero ni la gran firma americana de refrescos se ha visto libre de espías. Unos empleados trataron en 2006 de vender información a Pepsi, pero la gran rival jugó limpió y descubrió el pastel.
El argumento de evitar la filtración de secretos industriales sirvió a Nokia para lograr que el Parlamento finlandés aprobase en 2009 una polémica ley, por la cual una empresa puede investigar los registros del correo electrónico de sus empleados. La popularmente conocida como ley Nokia permite controlar a la empresa el destinatario y el remitente, el formato y tamaño de los archivos adjuntados, o la fecha y hora de los mensajes de los empleados, aunque no acceder al contenido de los mismos.
Aun así, en todos los sistemas de seguridad hay goteras. El pasado jueves un correo interno del nuevo consejero delegado de Nokia, Stephen Elop, fue filtrado a un portal de Internet. En la misiva aseguraba que la compañía es como "una plataforma (petrolífera) en llamas", debido a los numerosos y graves problemas con los que se enfrenta.
El modus operandi del ciberespía ha evolucionado al mismo ritmo que la tecnología. Lo explica bien Juan Martos, director del Laboratorio de Recovery Labs y responsable del área de Informática Forense. En sus primeros casos de investigación los clientes querían comprobar si un determinado documento había sido enviado a la impresora, o al escáner. Después, se preocupaban por la rapidez con que un documento podía ser copiado a un disquete.
Ahora, "el ciberdelincuente dispone de un amplio abanico de dispositivos que le pueden ayudar en su cometido: pen drives, correo electrónico, teléfonos inteligentes... por no hablar de programas de spyware, redes sociales, identidades virtualizadas...", explica Martos. El reto, a la postre, es acompañar cada avance tecnológico de medidas de seguridad.
Agentes en la oficina
- El caso de Superlópez. En 1993, el grupo General Motors acusó a uno de sus exejecutivos, José Ignacio López de Arriortúa (conocido como Superlópez), de revelar secretos a su nueva empresa, Volkswagen. El asunto se resolvió de forma amistosa. En 1997 firmaron un acuerdo por el que la alemana se compromete a pagar 100 millones de dólares (73 millones de euros) a la estadounidense y a comprar piezas de repuesto por valor de 1.000 millones de dólares (733 millones de euros). El ejecutivo fue absuelto por un tribunal alemán, pero EE UU llegó a pedir sin éxito a España su extradición.
- Batalla de la industria aeronáutica. El Departamento de Justicia de EE UU multó en 2006 a Boeing con 615 millones de dólares (451 millones de euros) por varios casos de espionaje en los que perjudicó a sus rivales Airbus y a Lockheed Martin.
- Juego sucio en la Fórmula 1. La Federación Internacional de Automovilismo sancionó en septiembre de 2007 a la escudería McLaren con 100 millones de dólares (73 millones de euros), la cuarta parte de su presupuesto anual, y la retirada de todos los puntos en el Campeonato del Mundo de Constructores de Fórmula-1 por haber usado información confidencial de Ferrari.
- Sentencia sin precedentes en España. Este año, un Juzgado de Barcelona ha condenado a tres años de prisión al directivo de la consultoría que recopiló y filtró información para otra compañía de la competencia por la que acabó fichando.
- Los secretos del coche eléctrico de Renault. La compañía automovilística suspendió de empleo y sueldo y denunció a tres directivos a los que acusaba de vender información del programa de vehículo eléctrico de la marca, que aglutina la mayor parte del esfuerzo de investigación de la compañía francesa. Fuentes de la investigación citadas por la prensa francesa señalan que el origen de este espionaje podría estar en fabricantes de este sector en China.
Fuente:
Amanda Mars
http://www.elpais.com/articulo/sociedad/Espias/Sociedad/Anonima/elpepisoc/20110212elpepisoc_1/Tes