A finales de junio se supo que unos hackers habían entrado en el correo electrónico de los jueces del “procés”. En mayo, que los datos de 4,5 millones de visitantes de la Alhambra quedaron al descubierto por comprar sus entradas online. Y en marzo, que habían introducido un virus en los ordenadores de Defensa para conseguir secretos de la industria militar. Son solo 3 ejemplos recientes de ciberataques, que en el mundo sufren 1.200 millones de internautas. En España, se detectaron 111.519 incidentes en 2018, más del doble que en 2015, sobre todo a empresas estratégicas, instituciones y particulares. Y el CNI alerta que España sufre un incidente “crítico” de seguridad cada 3 días. Es un problema serio, que cuesta 500.000 millones de euros al año en el mundo y 2.100 millones en España, donde 1 de cada 3 internautas sufren ciberataques. Urge que el Estado, las empresas y los particulares gasten más en seguridad y afronten con mayor decisión uno de los grandes problemas del siglo XXI. Estamos muy inseguros.
A principios de 2019 había en el mundo 4.388 millones de internautas, más de la mitad de la población mundial (7.676 millones), según el último informe de We Are Social y Hootsuite. Y de ellos, la mayoría (3.986 millones de personas) son internautas vía móvil, casi 30 millones de ellos en España. Pues bien, 1 de cada 3 de estos internautas sufrió algún ciberataque en 2018, según revela el último informe sobre Ciberseguridad de Norton/Symantec: son ya 1.200 millones las personas que han sufrido ciberataques en el mundo, 867,2 millones en el último año, sobre todo en China (729,5 millones de internautas han tenido problemas), EEUU (151,9 millones afectados), Brasil (89 millones), México (49,4 millones), Alemania (32,6 millones), Reino Unido (26,7), Francia (26,2), Italia (24,1). En España, el informe Norton estima que 1 de cada 3 internautas fueron afectados por ciberataques (unos 10 millones).
Con estos ciberataques tan generalizados, la ciberdelincuencia
se ha convertido en un negocio más
rentable que la droga, según los expertos. De hecho, el informe Norton revela que 2 de cada 5 ataques informáticos tienen un
impacto económico sobre el país, la empresa o el particular atacado y que provoca unas pérdidas de 172.000 millones
de dólares al año (142 dólares de media anual por víctima). Otra
estimación, de McAffe, eleva el coste anual de la ciberdelincuencia a 600.000 millones de
dólares (500.000 millones de euros),
el 0,8% del PIB mundial. Y en el caso de España, la estimación de Norton es que
los ciberdelitos nos cuestan cada año 2.100
millones de euros de pérdidas.
El hecho cierto es que los ciberdelitos se han multiplicado
en España en los últimos años, aumentando casi un 50% anual. Así, el Instituto Nacional de Ciberseguridad (INCIBE),
con sede en León, ha pasado de detectar 18.000
“incidentes de seguridad” en 2014 a
50.000 en 2015 y 111.519 incidentes en 2018, sobre todo en empresas, Universidades, infraestructuras
críticas e internautas particulares. Y de ellos, 722 ciberataques afectaron a “operadores estratégicos
críticos”
(organismos y empresas que prestan servicios esenciales para la comunidad),
sumándose ya más de 2.300 ataques críticos en los últimos 5 años, más de la
mitad de ellos a bancos, empresas de energía y transportes.
Otra estadística reveladora es la que publica cada año el Centro Criptológico Nacional (CCN), dependiente del Centro
Nacional de Inteligencia (CNI), que se especializa en ciberataques al Estado y
sus instituciones, aunque también a empresas y servicios básicos. En 2018, el CCN detectó 38.192 ciberataques,
el 57% dirigidos a instituciones públicas. Suponen un 44% más que en 2017
(26.472), casi el doble de incidentes que en 2016 (20.807) y casi 10 veces los ciberataques detectados en 2012 (4.003). Y lo peor es que 180
ciberataques fueron “críticos” (1 cada 3 días) y 9 “muy críticos”. El propio
presidente del CNI reconoció en el Parlamento su preocupación porque los ciberataques son cada vez “más serios”: “si en los últimos 5 años se registraban cada mes 5
incidentes de seguridad informática “de envergadura”, en junio de 2019 se han
producido 9 ataques relevantes”, señaló Sanz Roldán.
Una tercera estadística son los ciberdelitos que se denuncian, ante la policía y la Guardia
Civil: fueron 81.307 denuncias en 2017,
el último dato aportado por el Observatorio de Delitos Informáticos (OEDI), con las denuncias que recibe Interior, un 35% más que en 2015 (60.154). La
mayoría son denuncias por fraude informático (60.150), seguidas de
las denuncias por amenazas y coacciones
(11.270), falsificación informática
(2.961), acceso e interceptación ilícita
(2.505), delitos informáticos contra
el honor (1.537) y sexuales
(1.322).
El problema es que sólo
un 12% de estos delitos cibernéticos pasan a un Juzgado: se incoaron 8.035
procedimientos judiciales por delitos informáticos en 2016, según la Memoria del Consejo General del Poder Judicial (CGPJ), frente a 66.586 denuncias
ese año. Y eso, porque muchas empresas y particulares no los denuncian y, sobre
todo, porque la policía tiene la orden de no
enviar al juez los delitos informáticos donde no se ha detectado el autor
(algo casi siempre muy difícil y más si las fuerzas de seguridad carecen de
medios), en cumplimiento de la modificación de la Ley de Enjuiciamiento Criminal promovida en 2015 por el Gobierno
Rajoy. Y aunque lleguen a un Juzgado, muchos
de estos delitos informáticos se archivan,
bien porque son importes bajos o porque su investigación es muy compleja, con
frecuentes implicaciones de mafias radicadas en el extranjero. Y al final, se
estima que el 95% de los delitos informáticos quedan impunes. En 2016, por ejemplo, de
las 66.586 denuncias, los jueces sólo
imputaron delitos informáticos a 1.242 personas (el 1,86%), según la
Memoria del CGPJ. Y la mayoría de los
imputados no acaba en la cárcel.
Los ciberataques
se centran, en España y el mundo, en organismos públicos, empresas y
particulares. Los ataques informáticos a los Estados y sus instituciones están creciendo, por razones
políticas y de espionaje industrial, según el último informe del CCN (CNI). Es
el caso detectado en el Ministerio de Defensa, donde en marzo se detectó un virus
que pretendía robar datos de empresas de armamento. Lo que más está creciendo
en el último año, según el último informe de Norton/Symantec 2019, es el “formjacking”, una nueva modalidad de ciberdelincuencia que se dedica a cargar códigos maliciosos en Web
de minoristas para robar los datos de las tarjetas de créditos de los
compradores. Es lo que pasó en septiembre de 2018 a 380.000 clientes de British Airways o al 5% de clientes de Ticket máster. Y en España, lo que les
ha pasado a los 4,5 millones de visitantes de la Alhambra que compraron su entrada por Internet: sus datos
quedaron expuestos. Y hay mafias informáticas que luego ofrecen estos datos en el
Internet oscuro, cobrando 45 dólares por tarjeta.
Otras dos modalidades
de ciberdelitos que siguen ahí, con fuerza, son el “ransomware” (se exige el pago de un rescate para acceder al propio
sistema, infectado por un virus: su uso ha aumentado un 12% en 2018, según Norton) y el “crytojacking” (delincuentes entran en equipos informáticos
potentes y los utilizan para generar criptomonedas). También está muy
generalizado el “phising” (ciberdelincuentes engañan al internauta para que revele
información personal, como contraseñas, datos de tarjetas de crédito, de la
Seguridad Social y números y claves de
cuentas bancarias), que ha
supuesto más de 1.000 millones de euros de pérdidas a bancos y clientes
españoles desde 2014, según el CCN. Y también están ahí todas las modalidades de “malware”, virus que se introducen con las cuentas de correo (el 60% de los mails tienen alguna “carga
dañina”, según
el CCN), fotos, imágenes o descargas y que pretenden acceder a datos
personales y correos. Es lo que le ha pasado al Juez Marchena y a otros magistrados que juzgan “el procés”.
Sin olvidar las plataformas que ofrecen
servicios (alquileres) o premios y que piden a cambio pagos que son un
fraude.
Otras formas más de
ciberdelincuencia, según recuerda el CCN (CNI) son las acciones contra la seguridad informática de
ciertas redes, organismos y empresas sensibles hechas por hackers activistas (“kactivistas”),
yihadistas o terroristas. Es un
anticipo de la guerra del futuro: la “guerra cibernética”. De hecho, la OTAN y 21 paises europeos (entre ellos España) han
creado en Estonia el Centro para la Defensa Cibernética Europea (CCDCOE), para trabajar
conjuntamente en la defensa de instalaciones básicas europeas (agua,
electricidad, aeropuertos…), pensando en potenciales ataques de Rusia, China y
pequeños paises de Asia y Oriente Medio. Y el abuso de datos y noticias falsas (“fake news”) y la manipulación de la
opinión pública e través de las redes sociales en épocas electorales. O los ataques a webs (el 45% de estos ataques se dan en EEUU y el 25% en Holanda), para paralizarlas o ralentizarlas o como forma de presión
económica o política.
En España, los ataques cibernéticos más comunes, según esta guía del INCIBE, son el secuestro del sistema (“ransomware”), el robo
de datos, el colapso plataformas o servicios, la caída y alteración de webs, el
espionaje y hackeo de dispositivos y el envío fraudulento de correos con virus
o haciéndose pasar por empresas, bancos, eléctricas o instituciones (Hacienda)
para obtener datos personales del internauta. Los sectores más atacados por los
ciberdelincuentes son los bancos, las
empresas de energía, agua y transportes, así como las webs de vuelos,
viajes y entradas.
El problema de fondo
es que los ciberdelincuentes están cada vez más preparados y los Estados, empresas y particulares no lo están
tanto. En la Administración pública, el Ministerio del Interior ha contratado este año a 12 expertos externos en ciberseguridad porque
faltan especialistas en la Policía y la
Guardia Civil, colapsadas con los
ciberdelitos. Y el Centro de detección de ciberataques de León, el INCIBE, sólo tiene 23 millones de Presupuesto y 104 empleados (el 40% son contratados
temporales), por lo que se quiere aumentar un 40% su plantilla (superada por el trabajo de los
ciberdelincuentes) en los próximos 3 años.
Pero lo más preocupante es la desprotección en ciberseguridad de la mayoría de las empresas
españolas: el 30% consideran que
están “poco o nada preparadas” para hacer frente a los ciberataques, según una Encuesta hecha por Deloitte en 2018. Las más preparadas son las empresas
muy grandes (las que facturan más de 5.000 millones de euros anuales), pero lo
están poco las menos grandes, las medianas y sobre todo las pymes. En general, las empresas españolas invierten poco en ciberseguridad:
invierten de media un 8,5% de su
presupuesto en tecnología, cuando la media que recomiendan los expertos es
invertir al menos el 20% de lo que gasten en tecnología (TIC). Y esta escasa
preparación es especialmente preocupante dado este dato: el 76% de las empresas españolas han sufrido un ciberataque en los
últimos 6 meses, según la Encuesta de Deloitte.
Los particulares tampoco hacemos mucho contra los ciberataques.
Por un lado, nos gastamos muy poco en antivirus (sólo lo tienen el 68%
internautas, según el informe ONTSI 2018) y en sistemas de protección y nos dedicamos a
descargar sin precaución correos, adjuntos, fotos, vídeos, aplicaciones y
demás, las mayores vías de entrada de los ciberdelincuentes. Y no nos
preocupamos demasiado de gestionar las claves, que repetimos sin reparo. De
hecho, sólo el 15% de los internautas
recurren a “métodos seguros” para proteger su seguridad informática, según los expertos. Y todo ello a pesar de que dos tercios de los internautas españoles (el 65,8%) han sufrido problemas de seguridad, según el informe ONTSI 2018. Y a que un 32% confían “poco o nada” en Internet.
Un elemento clave es gastar más en ciberseguridad, tanto
los Estados como las empresas y los particulares, pero otro es contar con profesionales bien formados
que nos defiendan contra la ciberdelincuencia. Y no los hay,
ni ahora ni para el futuro próximo. De hecho, para 2022 habrá 1,8 millones de
empleos sin cubrir ligados a la
ciberseguridad, de ellos 350.000 en Europa y 25.000 en España, según la
publicación Cybersecurity Ventures. Así que los Gobiernos y las empresas tienen
que apoyar a fondo la formación de
ciberespecialistas, desde la Formación Profesional a la Universidad. Pero
“estudios de verdad”, con seriedad y profundidad, porque actualmente hay una cierta “burbuja” de formación,
con 65 Másteres y Grados en ciberseguridad
impartidos por Universidades (sobre todo privadas) y Escuelas de
Negocio, muchos puestos en cuestión por los expertos.
El mundo tiene
que tomarse en serio la lucha contra la ciberdelincuencia, uno de los grandes retos de este
siglo como el cambio climático. Obama
ya declaró la ciberseguridad como uno de los objetivos estratégicos de EEUU y Trump ha reiterado que es una de sus prioridades, agobiado con China y Rusia. En Europa, la Comisión aprobó en 2016 una Directiva que establece medidas
para lograr un elevado nivel de ciberseguridad, obligando a paises y empresas a
informar con celeridad de los incidentes y fugas de datos. Y en España, Rajoy aprobó en diciembre de 2013 la Estrategia de Ciberseguridad Nacional, que Sánchez acaba de actualizar, al aprobar
en abril la nueva Estrategia Nacional de Ciberseguridad 2019. Su objetivo es potenciar la
resistencia de los sectores ante la ciberdelincuencia y conseguir una mayor colaboración público-privada, introduciendo certificaciones e
indicadores de ciberseguridad en los servicios estratégicos y exigiendo
requisitos de seguridad informática en todos
los concursos públicos. Pero faltan
más recursos (públicos y privados) y más coordinación entre instituciones,
administraciones y empresas, así como campañas
públicas para concienciar y formar a los internautas en la seguridad.
Internet ha revolucionado
nuestras vidas y la economía pero también se ha convertido en la
mayor plataforma para el delito, para cometer fraudes, atacar a
empresas e instituciones y robar o intimidar a los internautas. Y los ciberdelincuentes
están cada vez más organizados y tienen más poder, con la connivencia de mafias
y algunos Estados. Por eso, urge que los paises, las empresas y los particulares
se vuelquen en defenderse de esta plaga,
con dinero, medios, especialistas y
formación. Es “una cuestión de Estado”. Porque estamos
más desprotegidos de lo que creemos. Superconectados
sí, pero necesitamos estar más seguros.
No hay comentarios:
Publicar un comentario