“No atacamos a instituciones relacionadas con la salud, la educación, los servicios sociales y las organizaciones de ayuda humanitaria”.
Se trata de una frase recogida por muchos grupos de ciberdelincuentes a modo de lema. Bonita forma de blanquear la acción delictiva.
Sin embargo, y desafortunadamente, tampoco es cierta. Para comprobarlo solo hace falta observar los ataques a instituciones como Cruz Roja, Amnistía Internacional o la propia ONU.
Todas ellas se han visto periódicamente atacadas por organizaciones delictivas cuyo interés va más allá de cualquier declaración de intenciones. Según el último informe elaborado por Microsoft en 2022, las ONG se han convertido en el segundo objetivo de los ciberdelincuentes, solo superado por el sector IT.
ONG y tecnología
Organizaciones humanitarias como Cruz Roja, Amnistía Internacional, Save the Children o Médicos Sin Fronteras (y en general, cualquier ONG que desarrolle funciones humanitarias) dependen actualmente de las tecnologías de la información para llegar hasta sus destinatarios. Y precisamente esa dependencia les hace doblemente vulnerables: tecnológica y humanitariamente.
Los daños que cualquier ciberdelincuente puede causar van desde la interferencia en los servicios que prestan hasta el acceso a datos personales (de beneficiarios y benefactores), el robo de fondos, la divulgación de información falsa o la suplantación de la identidad.
En muchas ocasiones, las condiciones en las que deben actuar estas organizaciones hacen que los servicios que prestan se vean sometidos a entornos tecnológicamente vulnerables, con conexiones inestables, de capacidad limitada y no raras veces intervenidas por gobiernos.
Según algunos informes, las ONG mueven en torno a 30 mil millones de dólares en ayudas humanitarias. Una cantidad que muchos consideran atractivas para desviar a sus propios bolsillos a través de transferencias ilícitas, ataques de ransomware, suplantaciones de identidad (ataque del CEO) o robo de datos personales.
Protección frente a posibles daños
En su mayoría, este tipo de organizaciones reciben donaciones a través de medios electrónicos o procesan información personal tanto de colaboradores como de destinatarios de las ayudas. Se trata de circunstancias que les obligan a cumplir con normativas como el RGPD que en ocasiones son parcialmente cubiertas.
Un análisis de riesgos de la información que manejan y su correspondiente plan de tratamiento son acciones indispensables que toda ONG debe llevar a cabo si no quieren sufrir además sanciones administrativas. Porque el daño no se reduce a meros valores económicos. En muchas ocasiones, los ciberataques afectan a la reputación de la organización y a su capacidad para prestar sus servicios (a menudo esenciales).
Y es que la sensibilidad en torno a la ciberseguridad de muchas de estas organizaciones es baja. Algunos expertos señalan que menos del 10% de las ONG forman a sus colaboradores o empleados en aspectos de ciberseguridad; solo un 25% monitorizan su red de comunicaciones y apenas un 20% tiene un Plan de Ciberseguridad.
Entidades y organismos de apoyo
No pocas compañías tecnológicas e instituciones tratan de atenuar el impacto de estas carencias apoyando a las ONG en el despliegue de mecanismos y procedimientos que mejoren su ciberseguridad. Así, por ejemplo, CYBERNGO dedica una parte muy importante de sus esfuerzos a la concienciación de las organizaciones frente a las ciberamenazas que pueden afectar a las misiones y servicios que prestan, tratando de atenuar el impacto de los posibles daños.
Uno de los actores más activos en este sector es el CYBERPEACE INSTITUTE que tiene como misión reducir la frecuencia, el impacto y la propagación de los ciberataques, además de concienciar a las organizaciones acerca del daño que pueden causarles. Entre sus actividades se encuentran las ciber-ayudas humanitarias, el análisis de ciberataques o la defensa de conceptos como la ciber-pacificación.
En una línea parecida, aunque con una vocación más global, se mueve NETHOPE que aglutina a más de 60 organizaciones y empresas tecnológicas que persiguen aportar soluciones digitales a crisis humanitarias, desde respuestas avanzadas a desastres hasta el uso de servicios de entornos de realidad virtual en la asistencia a las víctimas.
Ciberseguridad de bajo coste
El WEF —World Economic Forum— ha puesto de manifiesto en numerosas ocasiones la relevancia que tienen las amenazas de ciberseguridad en la sociedad moderna, pero más aún para las ONG que encuentran verdaderas dificultades de financiación cuando se trata de abordar problemas que históricamente se han considerado secundarios. Abordar los riesgos de ciberseguridad, aunque con medios limitados, se ha convertido más que en una necesidad, en una obligación. Aspectos como, por ejemplo, la continuidad o la resiliencia son características claves en el funcionamiento de una ONG, y no son menos críticas que en una compañía privada.
Identificar mecanismos y soluciones que puedan servir como medidas que atenúen esos riesgos es una tarea que requiere de enormes esfuerzos e imaginación. Aportaciones de fabricantes de productos de ciberseguridad, asesoramiento voluntario de expertos del sector, empleo de soluciones de software libre o colaboración con otras instituciones forman parte de las herramientas más empleadas. Incluso, se han constituido organizaciones, como Hackers Sin Fronteras (HWB) o YesWeHack (YWH) que pretenden actuar en el sector de la ciberseguridad a modo de ONG.
Por ejemplo, no hace mucho NETHOPE, USAID y Okta decidieron crear el ISAC —Information Sharing and Analysis Center— cuyo objetivo se enmarca en la colaboración para ayudar a las ONG a saber reaccionar frente a las ciberamenzas. A medio plazo, el ISAC pretende captar a gobiernos, benefactores, compañías tecnológicas, MSPs y MSSPs así como a otros tipos de proveedores de ciberseguridad para que ayuden a las ONG en aquellos lugares del mundo donde se encuentren las comunidades más vulnerables.
Vulnerar a los vulnerables
Resulta, pues, evidente la afirmación de que en general la presencia de una vulnerabilidad aumenta el riesgo de un posible ataque. Sin embargo, en el caso de las ONG, la frase toma si cabe mayor relevancia: son precisamente los más vulnerables aquellos que finalmente son víctimas de los ciberataques. Para algunos, da igual el daño que se cause.
Opinión