El segon trimestre de 2021 ha destacat per un augment de l’escala dels atacs informàtics viscuts a internet. Les ofensives es dirigeixen a grans bases de dades, com Facebook, LinkedIn o Glovo, i si es comptabilitzés el nombre de fuites d’informació personal succeïdes a Catalunya com a ciutadans únics, la meitat de la població tindria part de la seva identitat digital filtrada. Així ho assegura l’Agència de Ciberseguretat de Catalunya (ACC) en el seu darrer informe trimestral, que apunta que al voltant d’un 10% dels catalans tenen un perfil digital amb informació altament detallada publicat a internet.

Segons apunta l’ACC, fins a un 40% dels registres exposats a la xarxa es deuen a errors de configuració de les plataformes i a la vulnerabilitat de les seves API, com han demostrat els casos de Facebook i LinkedIn. Aquest darrer també s’ha vist afectat per l’scrapping, una tècnica altament estesa que consisteix a extraure informació de manera automatitzada de les xarxes socials.

El 40% de les filtracions de dades es produeixen per errors de configuració i per la vulnerabilitat de les API

Una altra de les preocupacions que assenyala l’ACC en el seu informe és la permanència de les dades filtrades en enormes bases de dades construïdes pels ciberdelinqüents i difoses a través de fòrums de la dark web. Aquest és el cas de RockYou2021, una recopilació de més de 8.400 milions de contrasenyes que s’han anat agrupant a través de diversos atacs, els més antics dels quals es remunten fins al 2009. El problema d’aquests documents és que són utilitzats per hackers per executar atacs massius de phishing, password spraying o credential stuffing, de manera que com més àmplies siguin, més objectius tenen. Una eina per comprovar si el nostre correu electrònic o número de telèfon consta en alguna d’aquestes bases de dades és la web ';--have i been pwned?, creada el 2013 pel director regional de Microsoft a Austràlia, Troy Hunt.

Atacs més amplis, però amb extorsions menys efectives

L’augment del nombre d’atacs informàtics és una realitat, com demostren les transaccions tancades a la dark web: segons l’informe, les fuites de dades compartides o venudes s’han multiplicat per quatre respecte al trimestre anterior. De fet, la demanda d’un rescat econòmic a canvi de no filtrar aquestes dades és la pràctica més habitual, efectuada en el 81% dels atacs de ransomware (un 5% més que al primer trimestre). Això sí, l’ACC apunta que l’efectivitat d’aquests xantatges ha caigut: si al 2020 funcionava en el 65% dels casos, actualment només ho fa en el 50% de les ocasions.

Els motius de les extorsions són diversos, des de l’impacte econòmic que pot suposar per a les empreses la filtració de les dades fins als efectes negatius que pot comportar en la seva reputació. Això no obstant, l’ACC en destaca un de concret: les sancions que s’han de pagar en cas d’incomplir el Reglament General de Protecció de Dades (RGPD) de la Unió Europea. Aquestes multes són cada cop més elevades, i són un ham que han trobat els ciberdelinqüents per xantatjar les seves víctimes. De fet, segons recull l’Agència, el segon motiu més recurrent pel qual les empreses incompleixen l’RGPD és precisament la manca de recursos o mesures per blindar la seguretat de la seva informació.