La ciberseguridad de BeeHackers es de Champions: la mejor defensa es un buen ataque

“Llevamos trabajando juntos ocho años y nunca le he tocado al ordenador de mi socio ni una tecla. Tenemos a rajatabla interiorizados los protocolos de seguridad en cualquier lugar y a cualquier hora”. Así se define Daniel Alcántara, abogado sevillano de 55 años, al frente de la empresa de ciberseguridad BeeHackers, junto con Ramón Salado, ingeniero informático, nacido hace 40 años en la localidad sevillana de Umbrete. Una pyme sofisticada a la que recurren con discreción corporaciones empresariales o instituciones cuando quieren prevenir ataques a sus infraestructuras críticas o cuando ya han sufrido incidentes como robo de datos, suplantación de identidad o estafas económicas.

“Desde una panadería a una empresa aeroespacial, cualquiera necesita tener para su funcionamiento un sistema informático que da soporte a la gestión de datos, ya sea fondo de comercio, la actividad de los trabajadores, información técnica, etc., y necesitan securizarla. En España, las pérdidas por ataques digitales a las empresas han aumentado un 30% durante el último año”, explican.

El equipo rojo ataca y el azul protege

BeeHackers tiene 10 personas en plantilla más 5 como freelance. Sus dos principales grupos de trabajo son el Blue Team (equipo azul) y el Red Team (equipo rojo). “El rojo se dedica a atacar a la empresa que nos contrata para averiguar sus fallos o carencias en ciberseguridad. Pueden ser, por ejemplo, ataques a sus servidores, o suplantación de identidad para atacar a través de mensajes que llegan a los teléfonos móviles o a los correos electrónicos. Y el equipo azul tiene como misión ayudar a fortificar y mejorar la seguridad, en función de lo que ha salido en la auditoría. También ofrecemos después la opción de que externalicen su departamento de ciberseguridad y nosotros le aportamos nuestra amplia experiencia a la medida de lo que necesiten”, comenta Ramón Salado.

Destaca Daniel Alcántara que “hemos conseguido rescatar cantidades de 150.000 o 200.000 euros que se daban por perdidas tras estafas. Y hemos intervenido en casos de ransomware en ayuntamientos, en empresas privadas, en partidos políticos, a los que las mafias del cibercrimen introdujeron software malicioso para robar datos, bloquear sus sistemas y exigir un rescate a cambio”.

El timo del CEO

Uno de los casos que han afrontado responde a lo que se denomina el timo del CEO, cuando los ciberdelincuentes suplantan a quien preside o dirige una empresa y envían mensajes dando la orden de hacer una transferencia a un presunto proveedor habitual.

El timo del CEO, cuando los ciberdelincuentes suplantan a quien preside o dirige una empresa y envían mensajes dando la orden de hacer una transferencia a un presunto proveedor habitual

“Fue una estafa superior a los dos millones de euros. Era una empresa que tenía muchas relaciones en China. En nuestro análisis, descubrimos que habían estado espiando durante 10 meses, y aguardaron a dar esas órdenes en el momento mejor para parecer verosímiles. También el caso de una empresa que sufrió la suplantación de su responsable financiero, y esperaron a ordenar una transacción cuantiosa porque sabían que la responsable financiera de una importante empresa proveedora iba a estar de baja por maternidad. Son mafias del cibercrimen que acumulan mucha información antes del ciberataque”.

El término hacker genera confusión y recelo porque en la opinión pública, por desconocimiento, se presupone que solo define a los ciberdelincuentes. “La Real Academia Española de la Lengua ya recoge la acepción de que un hacker no solo es un pirata informático sino que también puede denominar a una persona apasionada con la informática y bajo principios éticos. Nosotros somos de los hackers buenos, y cuando pensamos en qué nombre le dábamos a la empresa, elegimos ponerle delante una abeja, bee en inglés, que es un animal inteligente. Aplicamos toda la sabiduría hacker para atacar preventivamente a nuestros clientes con el fin de ver los fallos de seguridad y mejorar su protección”, señala Ramón Salado.

Decidieron de modo simbólico constituir la empresa el mismo día que se publicó el Reglamento General de Protección de Datos, “es el vínculo perfecto entre la materia legal y la materia tecnológica. Empezamos con clientes que eran organismos públicos, colegios profesionales y entidades similares que necesitaban adaptarse al nuevo marco normativo. De ahí hemos evolucionado a la ciberseguridad para empresas e instituciones que gestionan datos o temas más esenciales o más sensibles: militares, sanitarios, patentes de fabricación, etcétera”.

Entre los principales clientes de BeeHackers están varias empresas españolas del Ibex 35

Entre los principales clientes de BeeHackers están varias empresas españolas del Ibex 35, y ya también trabajan para con empresas de otros países. “Las hay industriales, de automoción, de apoyo al sector bancario, de servicios sanitarios. Somos muy transversales en ese sentido”, comenta Daniel Alcántara.

Ramón Salado explica que “estamos trabajando en un proyecto internacional de ciberinteligencia en el ámbito militar. Consiste en captar diversas fuentes de información y son presentadas en tiempo real a alguien que está sobre el terreno, para que sepa en qué situación se encuentra. En lugares sometidos a conflictos complicados, como Sudán del Sur, Siria, Libia…”.

Con la última reforma del Código Penal, precisa Daniel Alcántara, “ahora la mera intrusión en un sistema informático ya es delito. Cuando un cliente nos llega y nos pide 'reviéntanos, por favor, que necesito justificar que estamos mal en seguridad', no solo le decimos lo que vamos a hacer, sino que se detalla todo en un contrato a firmar por las dos partes. Se estipula para qué atacamos y qué infraestructuras atacamos. En la auditoría se concretan objetivos y el alcance del ataque para obtener el mayor número posible de vulnerabilidades y les ayude a mejorar”.

Estrategias de camuflaje

Hay básicamente tres tipos de estrategia. “Una se llama black box, se aplica cuando nos dicen: Mira, no quiero saber nada, atacar nuestra empresa para conocer nuestras vulnerabilidades, y no hemos avisado ni a nuestros directivos de seguridad, ponlos a prueba. Sin que ellos lo sepan, hacemos acciones muy variadas para poder acceder a sus ordenadores y sistemas”.

Daniel Alcántara nos detalla algunas que han hecho recientemente. “Conseguir que una secretaria de dirección salga de su despacho para podemos meter en su ordenador. O el otro día, lo hice personalmente, en la sede de una multinacional, me puse en la puerta del edificio a hablar por teléfono, y entraban cuatro chicas que trabajan en dicha empresa, y les dije: 'Perdonar, me he encontrado aquí en el suelo junto a la puerta un pendrive de alguna persona de la empresa a la que se le ha caído cuando salía'. Te agradecen que se lo des, y cuando llegan a su puesto en la oficina meten en su ordenador el pendrive para saber de quién es, y así, sin ellas percatarse, nos permiten meternos en su red de ordenadores”.

Ramón Salado añade que “también hacemos regalos a los jefes de informática, como una caja decorada muy bonita con 'pendrives' de diseño especial, y en cuanto usan uno, creyendo que están vacíos, nos permiten conectarnos dentro de su red.

Otra estrategia es denominada grey box, cuando sí tienen colaboración desde dentro de la empresa que les contrata. “Para un cliente ideamos una campaña en la que a toda la plantilla se le ofrecía por parte de una empresa ficticia un descuento de 50 euros en las compras que hicieran en Amazon, y en la circular a todos sus empleados se les decía que entrara en un determinado enlace con la cuenta corporativa de correo electrónico. De 200 empleados, 150 picaron, y nos llegaban sus correos con sus contraseñas de usuario”, recuerda Ramón Salado.

La otra gama de acciones es tipificada como white box, “cuando la empresa nos facilita todos los accesos para que podamos movernos por sus sistemas. Lo que garantizamos, sea cual sea el tipo de estrategia, es que nosotros solo nos dedicamos a acreditar que hemos accedido a los ordenadores, o las contraseñas, o las cuentas de correo, etc., pero no cogemos ni una sola información, ni de la empresa ni de los trabajadores. Ni corporativa, ni personal. Y con ninguna acción se intenta humillar o perjudicar la reputación de un empleado. Porque, además, muchas veces quienes hacen lo indebido son los altos directivos”.

La situación inversa, a la que también dan servicio desde BeeHackers, “son investigaciones sobre informáticos que deliberadamente han borrado datos, o comerciales que han fichado por una compañía competidora y han intentado llevarse gran cantidad de información de la empresa de la que se van. Hacemos los análisis forenses, y si se muestra que la sospecha es cierta, con esas pruebas la empresa se va al juzgado para ponerles una denuncia”.

“La unión de alto nivel técnico y del alto nivel legal es uno de los factores diferenciales de BeeHackers. Lo usual es que o hay empresas de abogados o hay empresas de informáticos. Nos caracteriza el sentido artesanal del trabajo. Todos nuestros profesionales tienen gusto por el perfeccionismo y cuidar cualquier detalle. La discreción es una de las claves de nuestro éxito. Estamos muy satisfechos de su grado de compromiso y de celo con la seguridad de nuestra empresa y de lo que hacemos para terceros”.

La discreción es una de las claves del éxito de Beejackers

Añade Ramón Salado que “utilizamos el menor número posible de herramientas de automatización para buscar vulnerabilidades de modo rápido e incompleto. Huimos totalmente de lo que hacen algunas consultoras tecnológicas usando esas herramientas de automatización para ofrecer hacer un análisis en 48 horas. De hecho, tenemos muchos clientes que llegan a nosotros porque están desencantados del servicio que les han dado de esa manera y cobrándoles una tarifa muy alta”.

También se valora bien la cantidad de señuelos, se les llama honeypot en el argot, que BeeHackers pone en internet para detectar quiénes atacan, desde qué país. “Con documentación combatimos la desconfianza que tienen algunas empresas para contar con nosotros solo por ser una empresa pequeña, cuando nos compara con otros que son gigantes. Entre nuestros clientes hay empresas que tienen profesionales con sus ordenadores por medio mundo, y la seguridad ha de ser para todos. Nosotros no solo damos a conocer los problemas, sino que también les aportamos soluciones”.

Creciente demanda de formación preventiva

El mayor crecimiento de actividad les está llegando por la demanda de servicios de formación. “La mejor barrera para defenderse de posibles ataques es la formación de los profesionales de la empresa o entidad que nos requiere. También nos dedicamos a sistematizar el cumplimiento de las normativas legales y estándares de seguridad de la información”.

Daniel Alcántara se dedica a la seguridad en internet desde el año 2002, fue de los abogados pioneros en España en esa especialización, contratado por grandes empresas de telecomunicaciones o de bebidas. Ramón Salado comenzó laboralmente en la Administración Pública, para Aena en el centro de control tráfico áereo de Sevilla, y después para la Seguridad Social. Ambos se conocieron como profesores en un máster de marketing y estrategias de social media en la Universidad de Sevilla, y decidieron unirse montando su propio proyecto empresarial.

Peticiones descabelladas

En BeeHackers ya están acostumbrados a que prácticamente a diario les lleguen peticiones para cometer ilegalidades. “Les enviamos una respuesta tajante para desmarcarnos, explicándoles que es un delito lo que nos piden. Que le subamos la nota en selectividad, o espiar a su ex pareja, o falsificar un título universitario, o entrometerse en una empresa competidora, o hackear el registro de su carné de conducir para tener más puntos. Hay gente que se confunde, por lo que ve en películas y series de televisión. Lo curioso es que nos llegan peticiones de personas que no camuflan su identidad, sino que te escriben con sus nombres y apellidos para pedirte una acción delictiva”, confiesa Daniel Alcántara.