Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Todo empezó hace cerca de dos años. Varias empresas españolas, entre ellas nuestra protagonista (llamémosla Empresa Alpha, por ejemplo) concurren a un concurso público y presentan sus respectivas ofertas. Una vez publicados los resultados, la ganadora (llamémosla Empresa Beta) se ha llevado la victoria por un margen muy pequeño. A Empresa Alpha le resulta una victoria sospechosa, ya que, además, la oferta y el pliego de Empresa Beta se parecen mucho a los suyos. Se hacen la pregunta en voz alta: ¿y si nos han espiado? O peor, ¿y si directamente nos han robado nuestra documentación y la han presentado como suya?

Para responder a la pregunta acudieron a Zerolynx, cuyo CEO, Juan Antonio Calles, nos cuenta lo sucedido en el cuarto episodio de El Enemigo Anónimo, la primera serie documental sobre ciberseguridad hecha en España: “Al hacer la pericia tecnológica vimos que una persona había hecho un envío de una información marcada como confidencial, había una fuga de información, así que evaluamos técnicamente lo sucedido, emitimos el informe y lo presentamos”, nos cuenta.

Un tiempo más tarde supieron la verdad: “Se demostró que una persona del área comercial había cedido la oferta que se iba a presentar a una empresa de la competencia a cambio de dinero“. Sorprendente, ¿no? Pues no tanto como parece. Como vamos a ver a continuación, el ciberespionaje entre empresas rivales que compiten por un mismo contrato es muy común. Y no hay que irse muy lejos para comprobarlo: en España hay ejemplos de sobra.

El ciberespionaje industrial, en cifras

Según el Data Breach Investigations Report 2020 elaborado por Verizon, el ciberespionaje industrial no para de aumentar cada año. Y si lo segmentamos por sectores, el manufacturero es el que más sufre este delito, seguido del profesional y –ojo– el público.

¿Y en España? La Memoria de la Fiscalía General del Estado sitúa el ataque contra la propiedad industrial y/o intelectual como el quinto ciberdelito más frecuente en nuestro país, representando un 4,2% del total.

La cifra porcentual puede parecernos baja, pero ¿qué pasa si analizamos la evolución? Que encontramos motivos de sobra para preocuparnos: desde 2015 los ataques contra la propiedad industrial y/o intelectual venían bajando significativamente… hasta el año pasado, en el que hubo 555 casos, multiplicando por más de 10 los del año anterior.

¿Quién espía, a quién y por qué?

¿Qué lleva a una empresa a querer espiar a otra? La respuesta parece evidente: el robo de información para tener una ventaja competitiva. “Siempre que existen datos y competición hay maneras para aprovecharse, generando un informe de inteligencia sobre qué es lo que tienen otros y qué es lo que tú puedes ofrecer”, nos cuenta Andrea G. Rodríguez, investigadora del CIDOB. “Y si quieres echarle mala baba y aprovechar lo que tienen los otros, es muy probable que lo intentes robar“.

¿Son casos aislados? En absoluto, en su opinión “es una práctica completamente extendida”. Coinciden en ello Javier Rodríguez, de Tarlogic, para quien “el ciberespionaje es público y notorio“, y Yoya Silva, de Woman in Cybersecurity Spain (WiCS), que reconoce que “todos suponemos cosas, pero no hay una confirmación oficial nunca. Si nadie quiere levantar la mano y decir lo que ha ocurrido no nos vamos a enterar del todo”.

Andrea G. Rodríguez, investigadora del CIDOB.

Jorge Louzao incluso nos da más detalles: “Entre empresas rivales que compiten por un mismo mercado o por los mismos contratos se da mucho”, pero, evidentemente, “no es una cosa que ninguna empresa te vaya a reconocer públicamente”.

De hecho, “grandes empresas españolas transnacionales están padeciendo ciberespionaje industrial día a día“, añade Luis Ramírez, editor de la revista SIC. Esto nos lleva a pensar en un grupo de empresas a las que menciona Alfonso Muñoz, de GFI Digital Risk: “El espionaje industrial existe para contratos muy grandes. Las grandes empresas, por ejemplo las del IBEX 35, tienen que proteger bien su propiedad industrial por robo de organizaciones, empresas… y, en algunos casos, gobiernos extranjeros”.

Los gobiernos también espían; ¿qué hace el CNI en España?

Un momento, ¿qué es eso que ha dicho Alfonso Muñoz de que los gobiernos extranjeros también espían? Sabemos que muchos gobiernos se espían entre sí (lo veremos en los capítulos 7 y 8 de El Enemigo Anónimo), pero ¿qué es eso de que un gobierno espíe a una empresa?

Pues sí, hay gobiernos que espían a empresas extranjeras: “Si tú tienes una empresa estratégica, llamémosla X, que se dedica a un bien básico que consumimos todos los días y está compitiendo por un contrato en la otra punta del mundo o está compitiendo por comprar una empresa o hacer una OPA hostil, detrás no solamente están esas empresas investigando y tratando de sacar toda la información, también están sus gobiernos“, nos cuenta Jorge Louzao.

“Doy por supuesto que el CNI trabaja en los contratos grandes para defenderlos… pero también para recabar inteligencia con la que ganar a los del otro lado”.

Román Ramírez, rootedcon

En estas cosas siempre tendemos a pensar bien de nosotros mismos y mal de los demás, pero Román Ramírez nos tira por tierra esta ingenuidad: “Yo doy por hecho que mi país está lidiando contra otros países para que mis empresas ganen contratos internacionales. Doy por supuesto que el CNI está trabajando en todos los contratos grandes para defenderlos y evitar que te los ‘bicheen’… pero también para recabar inteligencia con la que ganar a los del otro lado. Esto es así y el que crea que no es así…”.

¿Es lícito que el gobierno español espíe a empresas extranjeras?

Por muy evidente que resulte el ciberespionaje de grandes gobiernos a empresas extranjeras, no puede dejar de llamarnos la atención. Porque vale que un país como España quiera defender a sus empresas ante ataques extranjeros, pero ¿qué pasa si es la propia España la que se dedica a hacer ciberespionaje a empresas extranjeras para beneficiar a las españolas? ¿Dónde queda la ética en todo este asunto?

Jorge Louzao (@louzaonet).

Román Ramírez se hace la misma pregunta en voz alta: “¿Es lícita la seguridad ofensiva? ¿Es lícito utilizar el ataque como parte de la defensa nacional? Es una pregunta muy complicada”, reconoce. “Éticamente está mal: agredir a un ciudadano, a una empresa o a un estado es malo por definición, pero eso forma parte del mundo que yo quiero, no del mundo que tengo. Cualquier país quiere que sus empresas ganen un proyecto y que no lo ganen las del país de enfrente. Y yo, sinceramente, prefiero que se arruine otro país a que se arruine el mío, quiero que haya más puestos de trabajo en el mío y que el que tenga el problema sea otro país, no el mío”.

“¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo”

Jorge Louzao (@louzaonet)

Jorge Louzao coincide en este punto, aunque su aceptación de que España pueda espiar a empresas extranjeras quizá sea más resignada: “Desde un punto de vista ético, que un estado esté detrás de este tipo de acciones es francamente reprobable… Pero vámonos al mundo real, vamos a ser pragmáticos, vamos a pensar que esto sucede todos los días, que hay estados más grandes que el nuestro que lo están haciendo y de alguna manera te tienes que defender. ¿Que es feo? ¿Que está mal? Por supuesto. ¿Que no nos queda otro remedio? Es que no es una situación equilibrada si tú no haces lo mismo. Tienes que tratar de beneficiar es a tu propio país, a tu gente y es a tus negocios, no a los del contrario”.

Las conclusiones de casi todas las personas con las que hemos hablado van en la misma dirección: el ciberespionaje industrial existe, es mucho más frecuente de lo que creemos y a veces incluso viene impulsado por los propios gobiernos internacionales.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture