Ir a contenido

Cybergym: donde las empresas aprenden a defenderse de un ataque 'hacker'

En Israel, cuna de la ciberseguridad, se encuentra Cybergym, una empresa que se dedica a entrenar a compañías de todo el mundo a reaccionar ante un ciberataque real

Josep M. Berengueras

Ofir Hason, consejero delegado de Cybergym.

Ofir Hason, consejero delegado de Cybergym.

Proteger el móvil, el ordenador de casa, el del trabajo, los servidores de la empresa, debería ser hoy en día una prioridad global. A veces con una sencilla actualización se logran evitar muchos de los peligros a lo que se puede estar expuestos. En Israel, país donde esta semana se celebra la Cyber Week, la ciberseguridad no solo es una prioridad sino una cuestión de Estado y un motor de la economía local.

En lo que fueron las pequeñas casas de los trabajadores de una plantación de naranjos en Hadera (norte de Israel) se encuentra ahora el Cybergym, un campo de entrenamiento para instituciones financieras, gobiernos, empresas de todo tipo y también infraestructuras críticas. Aquí no vienen a saber cómo mejorar las cuentas o exportar más, sino a aprender a cómo defenderse de un ciberataque.

Hay centro de simulación de ataques en otros rincones del mundo. Pero en el Cybergym “todo lo que sucede, sucede de verdad, en tiempo real”, explica Ofir Hason, consejero delegado de Cybergym (empresa conjunta de Israel Electric Corporation y la empresa israelí de ciberseguridad CyberControl). Pasa de verdad porque en las diferentes casas se recrean los centros de datos, infraestructuras críticas, salas de control y sistemas de las empresas, mientras que el ataque es real porque, realmente, se produce un ciberataque interno que, eso sí, no saldrá de las instalaciones.

En estas instalaciones, que ya han exportado a países como Portugal, República Checa o Australia, trabajan unas 40 personas, muchos de ellos “hackers del lado bueno”, como define Hason, además de exmilitares y exempleados de empresas de ciberdefensa. “El objetivo es dar un puñetazo en la cara de las empresas antes de que tengan que afrontar una pelea de verdad”, resume el directivo. “En general no gusta lo que pasa porque las empresas se dan cuenta de lo vulnerables que son”, resume.

Esa vulnerabilidad es especialmente peligrosa en los casos de infraestructuras críticas. Plantas de electricidad, centrales nucleares, aeropuertos, potabilizadoras de agua, los bancos... Son las infraestructuras y empresas que deberían estar más protegidas ante ciberataques. Pero no suelen estarlo.

Los clientes informan a Cybergym de sus sistemas informáticos, manuales de actuación y características del negocio. Los expertos en seguridad de Cybergym generan un caso personalizado para el entreno, lo más parecido posible a lo que pasaría en la realidad. Y estos desembarcan en Cybergym no solo con el personal técnico, sino también con todos los directivos que toman decisiones.

Y es en este punto donde que el entreno se haga en un entorno real es importante: si se toman malas decisiones afecta al desenlace. Son escenarios reales de ataques informáticos, incluso que afectan cuadros eléctricos, servidores o incluso depósitos de agua, todos ellos presentes físicamente en el CyberGym.

El entreno puede durar desde un día en los casos más simples a “semanas” para grandes corporaciones (el precio por semana va de los 100.000 a los 300.000 dólares). Cuando acaban el entreno, se analizan todas las decisiones tomadas y acciones llevadas a cabo. Y los expertos los valoran y recomiendan cómo actuar. Por suerte, el ataque no ha sido en sus empresas reales.

¿Están las empresas y las infraestructuras críticas preparadas para un ataque? La respuesta llega a modo de ejemplo, con un cajero automático allí presente. “Es real. Hay 50.000 como este instalados en Asia. Dentro tienen un ordenador normal que funciona con Windows NT 4.0 (de 1996), sin soporte ni actualizaciones. Es casi ridículo lo fácil que es hackearlo”, asegura Hason. Quizá más preocupante aún sea la respuesta del banco: “Les avisamos y preguntamos porqué no los actualizan. Nos respondieron que funcionaban, que costaba demasiado dinero. Hay que pensar en el largo término”, concluye. Para este experto, eso pasa en miles de empresas: no hacen algo tan sencillo como actualizar los sistemas.