 |
| Enrique Ortega |
La ciberdelincuencia es un grave problema mundial, un negocio que mueve ya más dinero que el tráfico de drogas, unos 5,5 billones de euros en 2020, según datos de la Comisión Europea. Y si ya era un riesgo global, se ha acelerado con la pandemia, al haberse multiplicado la conexión a Internet, la conectividad, el teletrabajo y las compras online, multiplicándose por cuatro el fraude cibernético, según el FBI. En España, los ciberdelitos aparecen en primer lugar en el ranking de los delitos más preocupantes para los próximos años, según la Estrategia nacional contra el crimen organizado aprobada en 2019.
Ahora, con la guerra de Ucrania, incluso antes de la invasión, se han disparado los ciberataques contra infraestructuras básicas, instituciones y grandes empresas, en Europa y en España. Es la llamada “guerra híbrida”, que mezcla ciberataques y propaganda. De hecho, la Unión Europea ya anunció el 22 de febrero, dos días antes de la invasión de Ucrania, el despliegue de un equipo de respuesta cibernética en toda Europa, mientras muchos paises y también EEUU, elevaban su nivel de alerta cibernética. En España, un informe del Centro Criptológico Nacional (dependiente del CNI) ya alertaba en enero sobre “el riesgo de ciberataques de alta persistencia y sofisticación tecnológica”. Y señalaba que España sufre diariamente ciberataques de peligrosidad muy alta o crítica contra el sector público y grandes empresas privadas, parte de ellos procedentes de “otros Estados” que tienen entre sus motivaciones debilitar nuestra capacidad política, económica y tecnológica”, sin citar nombres de paises, aunque Rusia siempre es el primer sospechoso.
Ahora, una vez invadida Ucrania, el Gobierno español decidió, el 9 de marzo, elevar la alerta cibernética al nivel 3 (hay 5 niveles), ante el temor de que arrecien los ciberataques rusos. Y en paralelo, ha creado un Comité de Ciberseguridad, dirigido por el CNI y bajo el paraguas del Comité de Crisis creado en la Moncloa, que está coordinando la defensa ante los ciberataques. Por un lado, se ha reunido con las grandes empresas del IBEX y las empresas estratégicas (energía, telecomunicaciones, servicios esenciales) para coordinar medidas e intercambiar información. En paralelo, se ha instruido a diplomáticos, funcionarios e instituciones públicas (incluidas Universidades) para que cambien contraseñas y refuercen la ciberseguridad. Incluso han pedido al Congreso que los diputados extremen la precaución en el uso de sus móviles y dispositivos informáticos.
Pero el problema de la ciberseguridad es muy anterior a la guerra de Ucrania. La generalización del uso de Internet, sobre todo en estos 2 años de pandemia, ha multiplicado los ataques, tanto a particulares (que compran y operan más por Internet) como a las empresas, a quienes el teletrabajo ha aumentado su brecha de seguridad. Los datos son muy relevantes. El INCIBE, el Instituto Nacional de Ciberseguridad (con sede en León) gestionó en 2020 (últimos datos oficiales) 133.155 incidentes de seguridad en particulares y 861 incidentes en operadores privados, sobre todo en Cataluña, Madrid, Andalucía, Comunidad Valenciana y País Vasco. Y en 2021, con datos del primer semestre, el INCIBE atendió 69.211 consultas (al teléfono 017 o bien online), un 68% más que en 2020: envío de SMS fraudulentos, robo de datos, suplantación de identidad, falsos soportes técnicos, fraude en compraventas, tiendas online falsas, hackeo de cuentas o dispositivos, sextorsión, problemas con menores…
La ciberseguridad no es sólo un problema de los Estados, instituciones públicas o grandes empresas, sino que nos afecta a todos los que utilizamos Internet. De hecho, más de la mitad de internautas (un 55,3%) sufrieron alguna incidencia de seguridad online en la primera mitad de 2021, según el INCIBE. Y de ellos, la mitad (el 28% del total) sufrieron un incidente grave. La mayoría de los incidentes fueron correos indeseados (85%), virus informáticos y códigos maliciosos (61%). Y son 4 las amenazas más comunes denunciadas: estafas informáticas (phising o robo de contraseñas y datos bancarios y carding, el copiado de tarjetas), daños a cambio de dinero, fraude en las telecomunicaciones (robo de wifi) y delitos contra la intimidad (sextorsión o bullying informático).
En el caso de las empresas, los ciberataques son aún más preocupantes: el 94% de las empresas españolas sufrieron un incidente grave de seguridad en 2021, según un reciente informe de la consultora Deloitte. De ellas, el 69% sufrieron entre 1 y 2 ataques y un 25% sufrieron más de 2 ataques en 2021. Las más afectadas fueron las aseguradoras (4 ataques graves de media), empresas de telecomunicaciones, medios de comunicación y tecnológicas (3 ataques), empresas de fabricación (2,80 ataques), bancos (2,25) y la Administración Pública (2 ataques graves: recordemos la paralización de las oficinas del SEPE). Los ataques se dan más a las grandes empresas (hay más “botín”), pero son más frecuentes en las pymes, que están menos preparadas: 1 de cada 5 pymes ha sufrido un ataque informático en el último año, con un coste medio de 35.000 a 75.000 euros por empresa, según Acens.
Cuatro son las ciberamenazas habituales a las empresas. La más utilizada (19% empresas la han sufrido) es el phising (el robo de datos), seguida de cerca por el ransomware (se restringe el acceso a los datos de la empresa y se pide un rescate para desbloquearlo), sufrido por el 18% de las empresas, el malware (introducir un programa malicioso que realiza acciones dañinas), que afectó a otro 14% de empresas, y el data breach (escape o filtrado de datos), que afecta a otro 10% de compañías. En conjunto, las estadísticas revelan que la media anual de ciberataques a empresas subió un 21% en 2021.
Al final, no todos los ciberataques se denuncian, en unos casos por desconocimiento o pereza (particulares) y en otros por preservar la imagen de marca (empresas). Con todo, los delitos informáticos denunciados se han triplicado: han pasado de 92.716 denuncias en 2016 a 287.963 denuncias en 2020 (+31%), último año que figura en el informe del Ministerio del Interior. El problema es que resulta muy difícil investigar muchos de estos ciberdelitos, porque su origen está en paises extranjeros muy opacos (Rusia, paises del Este, Asia) y no es fácil demostrar la autoría ni detener a los culpables. Por eso, de los 287.963 delitos denunciados, sólo se esclarecieron 38.046 (el 13,2%) y fueron investigados y detenidos sólo 11.280 delitos (el 3,91%). Un dato curioso, que contrasta con lo que muchos piensan, es que el 79,2% de los ciberdelincuentes detenidos fueron españoles.
Lo preocupante es que los ciberdelitos, a particulares (lea cómo es un fraude online) y empresas, se han aupado al 7º lugar del ranking de delitos más comunes, por delante del tráfico de drogas y de los robos con violencia (la propia policía cree que “es más fácil que nos roben por Internet que nos atraquen en la calle”). Los investigadores indican que el auge de los ciberdelitos se explica por varias razones: la facilidad para delinquir (los equipos tienen bajo coste), el poco riesgo (sólo se esclarecen y detienen el 3,91% de los delitos denunciados) y porque se ha producido una “migración” de delincuentes de otros delitos (droga, robos) a los ciberdelitos, donde trabajan para grandes mafias que les compran datos. Y hay otra explicación más: la falta de medios especializados, en las comisarías y en las fuerzas de seguridad, para detectar y perseguir estos delitos, que promueven mafias muy poderosas.
Las autoridades que vigilan los ciberdelitos, en especial el INCIBE, multiplican sus esfuerzos para que particulares y empresas refuercen su ciberseguridad. Pero hacemos poco. La prueba es que sólo el 61% de los internautas han cambiado sus hábitos (cambio contraseñas, antivirus, herramientas de privacidad) tras sufrir un problema de ciberseguridad. Y sólo un 30% de los internautas han cambiado sus hábitos de compra tras un fraude online, según los datos de INCIBE, que alerta además de una reducción de las medidas de seguridad (programas antispam, cortafuegos, antivirus) tanto en los ordenadores de casa como en los teléfonos móviles. Y llaman la atención sobre la costumbre generalizada de usar fuentes desconocidas para la descarga de aplicaciones (una de las vías principales de entrada de virus). Además, reiteran en su web las recomendaciones de seguridad para los usuarios: actualizar dispositivos y aplicaciones, antivirus, seguridad de contraseñas, descargas aplicaciones en sitios seguros y realizar periódicamente copias de seguridad.
Para las empresas, el mejor consejo de ciberseguridad es gastarse dinero, darle importancia institucional (crear un responsable de seguridad con categoría y medios) y la formación de los empleados (que son la principal entrada involuntaria de virus, vía correo electrónico, navegación por Internet o aplicaciones descargadas). Muchas empresas subcontratan la ciberseguridad y eso les resta eficacia. Y en el caso de las pymes, apenas se invierte en seguridad ni se cuenta con planes y personal preparado. De hecho, los especialistas en ciberseguridad van a ser los profesionales más demandados en los próximos años: harán falta 83.000 nuevos especialistas para 2024, según el INCIBE.
El Gobierno Sánchez lleva desde 2019 empeñado en la lucha
contra el cibercrimen y este trabajo ya ha dado algunos frutos: España es el 4º país del mundo con más
ciberseguridad global, según
el Global Cybersecurity Index 2020, elaborado por la Unión Internacional de
Telecomunicaciones (UIT), sólo por detrás de EEUU (1º), Reino Unido y Arabia
Saudí (2º) y Estonia (3º), empatado a puntos (98,52 sobre 100) en el 4º puesto
con Corea y Singapur y por delante de Francia (9º lugar), Alemania (13º) o
Italia (20ª). El índice mide 5
indicadores y España ha obtenido el máximo (20 puntos) en cuestiones
legales, capacidad de desarrollo y cooperación, obteniendo una alta nota en la
aplicación de capacidades técnicas (19,54 puntos) y estrategias nacionales de
ciberseguridad (18,98).
En enero de 2019, el Gobierno aprobó la Estrategia Nacional contra el Crimen Organizado que incluía un Plan Estratégico de Ciberseguridad. Y en abril de 2019, el Consejo de Seguridad Nacional (CSN) aprobó la Estrategia Nacional de Ciberseguridad. En julio de 2020 se creó el Foro Nacional de Ciberseguridad, un especio de colaboración entre la administración pública y las grandes empresas privadas para reforzar la ciberseguridad. En diciembre de 2020, se aprobó la Agenda Digital 2025, un Plan para reforzar la digitalización de la economía y de la Administración, con medidas de ciberseguridad. Y el 9 de marzo de 2021, el Ministerio del Interior aprobó el Plan Estratégico contra la Cibercriminalidad, que se refuerza con los Fondos europeos destinados a la ciberseguridad en el Plan de recuperación (260 millones, entre 2021 y 2024, para que las pymes refuercen su ciberseguridad. Y todo ello dentro del paraguas de la Unión Europea, que ha centralizado toda su gestión de la ciberseguridad europea en un nuevo Centro, abierto en Budapest en febrero de 2022. En España, el Centro de gestión de la ciberseguridad pública se acaba de adjudicar a Telefónica e Indra.
Parece que los poderes públicos, europeos y españoles, se han tomado en serio la guerra contra la ciberdelincuencia, uno de los grandes retos del siglo XXI, junto al cambio climático y la revolución tecnológica. Pero queda mucho por hacer. A nivel público, dedicar más dinero y medios a la lucha contra la ciberdelincuencia: baste decir que el Plan contra la Cibercriminalidad contó en 2021 con 1 millón de euros de presupuesto… Y las empresas apenas gastan en ciberseguridad, solo las muy grandes, no las pymes. Y nosotros, los particulares, ni gastamos en seguridad ni tomamos apenas medidas de defensa, al navegar por Internet, abril correos, compartir información o bajarnos aplicaciones. Hay que tomarse más en serio esta guerra, como ahora la defensa europea o la autonomía energética. Porque la ciberdelincuencia es cada día más fuerte y peligrosa. Nos jugamos mucho.
No hay comentarios:
Publicar un comentario