Durant anys s’ha pensat que un ciberatac és un esdeveniment evident, sorollós i fàcil d’identificar. Pantalles bloquejades, arxius xifrats o sistemes caiguts eren els senyals clàssics. Tot i això, la realitat actual és molt més silenciosa i, per tant, perillosa.

Una part important de les empreses que han patit una intrusió no ho descobreixen fins a setmanes o fins i tot mesos després, quan el mal ja està fet i la informació ha estat utilitzada o venuda.

El problema és que els ciberatacs han evolucionat al mateix ritme que la tecnologia empresarial.

Avui els ciberdelinqüents busquen passar desapercebuts, romandre el màxim temps possible dins de la xarxa i extreure’n dades de manera progressiva. Detectar aquestes intrusions requereix atenció, anàlisi i una comprensió clara de certs comportaments anòmals que solen repetir-se en gairebé tots els incidents greus.

Senyals invisibles que solen passar desapercebuts

Un dels primers indicis que alguna cosa no va bé apareix en el rendiment dels sistemes. Equips que es tornen lents sense causa aparent, processos que consumeixen recursos de forma irregular o pics d’ús fora de l’horari laboral poden ser senyals que hi ha programari maliciós que s’està executant en segon pla.

En molts casos no són errors tècnics, sinó eines d’accés remot instal·lades sense autorització. També és freqüent que els sistemes de correu comencin a mostrar comportaments estranys: enviaments que els empleats asseguren no haver realitzat, respostes automàtiques desconegudes o queixes de clients per correus sospitosos són indicadors clars que un compte pot haver estat compromès.

Les campanyes de suplantació internes són una de les vies més comunes per escalar privilegis dins una organització.

Un altre símptoma habitual està relacionat amb els accessos. Inicis de sessió des d’ubicacions inusuals, connexions a hores poc habituals o intents repetits fallits poden passar desapercebuts si no es revisen els registres amb freqüència.

Tot i això, són una de les proves més clares que algú està provant credencials o ja ha aconseguit entrar.

El robatori de dades poques vegades deixa un rastre evident

Un dels grans errors és pensar que si no s’han esborrat fitxers o demanat un rescat, no ha passat res greu.

La majoria d’atacs actuals cerquen informació: bases de dades de clients, credencials, contractes, facturació o comunicacions internes. Aquestes dades es copien sense alterar els sistemes, cosa que en dificulta enormement la detecció.

Les fuites silencioses solen reflectir-se temps després, quan apareixen filtracions en fòrums especialitzats, quan es reben correus d’extorsió o quan els clients comencen a informar d’usos indeguts de la informació. En molts casos, l’incident original va passar mesos enrere.

El trànsit de xarxa també ofereix pistes rellevants. Un augment constant i discret de l’enviament de dades cap a servidors externs, especialment en horaris nocturns, sol indicar una exfiltració d’informació. Les empreses que no monitoren aquest flux poques vegades detecten el problema a temps.

Canvis interns que no s’haurien d’ignorar

Les modificacions inesperades en configuracions de seguretat són un altre símptoma habitual: usuaris que guanyen permisos que no necessiten, desactivació d’antivirus o tallafocs, o canvis en polítiques internes sense registre previ solen ser conseqüència d’accessos indeguts.

Aquestes accions permeten als atacants moure’s amb més llibertat dins del sistema.

També és freqüent observar fallades intermitents en aplicacions que abans funcionaven amb normalitat. Petits errors, tancaments inesperats o comportaments incoherents poden estar relacionats amb processos maliciosos que s’executen en segon pla.

Des del punt de vista humà, un augment sobtat d’intents de pesca dirigits a empleats concrets sol indicar que els atacants ja coneixen l’estructura interna de l’empresa.

Això passa quan han tingut accés a correus o documents i utilitzen aquesta informació per perfeccionar els seus enganys.

Per què moltes empreses triguen mesos a descobrir-ho?

La manca de visibilitat és un dels grans problemes. Moltes organitzacions no tenen sistemes de detecció avançats ni revisen de manera periòdica els registres d’activitat.

A això s’hi afegeix la falsa sensació de seguretat que generen les solucions bàsiques, insuficients davant d’atacs dirigits.

Segons diversos informes del sector, el temps mitjà de detecció d’una intrusió supera els 180 dies a petites i mitjanes empreses.

En aquest període, els atacants es poden moure lateralment, crear accessos persistents i preparar atacs més greus com el programari de segrest (ransomware) o el frau financer.

A més, el creixement del teletreball i l’ús de serveis al núvol ha ampliat enormement la superfície d’atac. Cada compte mal protegit, cada dispositiu sense actualitzar i cada contrasenya reutilitzada es converteix en una possible porta d’entrada.

Què fer quan se sospita d’una intrusió

Davant de qualsevol indici, la prioritat ha de ser no esborrar proves ni actuar de manera impulsiva. És fonamental analitzar els sistemes, revisar els registres i, si cal, comptar amb especialistes en ciberseguretat que puguin determinar l’abast real de l’incident. Actuar tard o minimitzar la situació sol multiplicar els danys.

També és clau revisar accessos, canviar credencials, comprovar integritat de còpies de seguretat i avaluar si s’ha produït una filtració de dades personals, cosa que podria implicar obligacions legals addicionals.

La prevenció posterior implica reforçar el monitoratge, formar els empleats i establir protocols clars de resposta.