Enrique Ortega |
Los ciberdelitos se han convertido en el mayor crimen organizado a nivel internacional, por delante del tráfico de drogas, armas y personas, reportando a los ciberdelincuentes un beneficio que superó los 6 billones de euros en 2021. Hoy se lanza ya un ciberataque en el mundo cada 11 segundos, cuando hace sólo 5 años se daba cada 40 segundos. El salto en la digitalización de las economías y los avances en el comercio electrónico y la interconexión por Internet tras la pandemia multiplicaron los ciberdelitos en 2020. Y han seguido creciendo en 2021, cuando aumentaron un 50% los ataques contra las empresas, los ciberataques a redes sanitarias, educativas y de investigación (1.605 ataques semanales) y crecieron un 140% los ataques a proveedores de software, según el informe Check Point 2022.
Con todo, los ciberataques que más crecen son los robos de datos con solicitud de rescate, el ransomware: los sufrieron en 2021 un 66% de empresas mundiales, el doble que en 2020 (37% atacadas), según un reciente estudio de Sophos realizado entre 5.600 empresas de 31 países. Y lo peor es que el coste del rescate pagado (por el 46% de las empresas afectadas) se ha multiplicado por 5 y ya supone un pago de 760.166 euros de media. España es el 2º país europeo más afectado por el robo de datos con rescate, que han sufrido el 71% de las empresas en 2021, sólo por detrás de Francia (73%) y por delante de Alemania (67% empresas), Italia (61%), EEUU (58%) y Reino Unido (57% empresas), según este estudio de Sophos, que incluye empresas de 500 a 5.000 empleados. Eso sí, España es de los países donde se piden rescates más bajos (174.000 euros de media), frente a 1,86 millones de euros en Holanda, 665.000 euros en Italia, 275.000 en Francia, 255.000 en Alemania.
El robo de datos con rescate (“ransomware”) es muy preocupante porque es el ciberdelito que más crece y además cada vez hay más empresas que pagan (casi la mitad, el 38% en España), no tanto para recuperar los datos robados o inaccesibles (la mayoría de las empresas afectadas tienen copias de seguridad) sino para evitar el daño reputacional que supone conocerse el ataque y la vulnerabilidad que refleja. Y además del elevado coste del rescate, las empresas tienen un coste añadido: “limpiar” después los datos recuperados, para evitar que los ciberdelincuentes hayan copiado contraseñas o añadido puertas traseras y software que expongan a la empresa o institución a futuros ataques. Este coste de recuperarse tras un ataque de “ransomware” supone ya una media de 1,3 millones de euros por empresa, la mitad en el caso de España, según el estudio de Sophos.
El auge de este ciberdelito, el robo de datos con rescate (“ransomware”) frente a otros (“phising” o robo de datos, “malware” o introducción de programas maliciosos y el “data breach” o escape y filtrado de datos) está llevando a un cambio en la estrategia mundial contra la ciberdelincuencia: los ciberdelincuentes son más agresivos y piden rescates más altos (porque ven que es más fácil conseguir resultados, dado que las empresas pagan y cada vez más) y las compañías de seguros (el 83% de las empresas tienen un ciberseguro) endurecen sus condiciones (el 34% de las pólizas tienen exclusiones), lo que dificulta la defensa efectiva ante esta ciberdelincuencia, sobre todo en las pymes.
Los sectores más afectados por el robo de datos con rescate (“ransomware”) son los medios de ocio y entretenimiento (79% afectados), el comercio minorista (77%), la energía, el petróleo y los servicios públicos (75%), las empresas de distribución y transporte (74%), los servicios empresariales y profesionales (73%) y la salud (66% empresas afectadas). Y los que menos las telecos (61%), los Gobiernos (60%), el sector educativo (56%), las manufacturas (55%) y los servicios financieros (55%), según el estudio de Sophos. Pero una novedad de 2021 y también de 2022 es el aumento de los ataques de “ransomware” contra empresas sanitarias (hospitales, seguros médicos, laboratorios), educativas y centros de investigación. En España, han sufridos estos ataques, para intentar el robo de datos con rescate, varios hospitales, algunas Universidades y el CSIC (Consejo Superior de Investigaciones Científicas, en septiembre de 2022), así como las oficinas de empleo (SEPE), el INE y varios Ministerios (Trabajo, Justicia, Educación y Economía), en 2021.
El interés de los ciberdelincuentes por los datos sanitarios preocupa en todos los paises y también en España, donde el sistema sanitario acumula este año 2022 “una treintena de ataques informáticos de muy alta peligrosidad”, según datos del Centro Criptológico Nacional (adscrito al CNI), que los vigila de cerca. La novedad es que está creciendo “el ransomware” de triple extorsión: se roban datos, se exige un rescate a la empresa y se extiende el chantaje a sus clientes, dirigiéndose a ellos para exigirles otro rescate por sus datos. Esto se vio por primera vez en 2020 en Finlandia, con el ciberataque a una clínica y a sus clientes, pero ahora ya se ha extendido y generalizado.
En conjunto, los ciberataques de distintos tipos están muy generalizados en las empresas, sobre todo con el auge del teletrabajo, que reduce la seguridad informática al conectarse los empleados desde puestos y redes no seguras. Sólo en 2021, el 94% de las empresas españolas sufrieron al menos un incidente grave de ciberseguridad (frente al 87% en 2020), según una encuesta hecha por Deloitte entre responsables de seguridad. Casi el 69% de esas empresas sufrieron entre 1 y 2 ataques y el 25% de ellas sufrieron más de dos ataques graves, en especial aseguradoras, telecomunicaciones, medios de comunicación, tecnológicas, banca e instituciones públicas: son las que cuentan con más ciberseguridad, pero también las que cuentan con más datos atractivos para los ciberdelincuentes. Y el 44% de las pymes sufrieron un ciberataque en 2021, según Hiscox.
Este año 2022, con el auge de la digitalización y el comercio electrónico, más la guerra de Ucrania, se observa un aumento de los ciberdelitos: más del 50% de las empresas del mundo esperan un repunte en los ciberataques, superando el récord de 2021, según un informe de la consultora Price Waterhouse. Lo que más está creciendo en el mundo es el robo de datos con rescate (“ransomware”), que se ha duplicado en 6 meses (según Fortiguard), gracias a la proliferación en la red oscura (“Deep web”) de programas que cualquiera puede comprar (sin ser hacker) y que han globalizado el “ransomware”. En España, además de los ataques a empresas con muchos clientes, están aumentando los ciberataques a la nube y los ataques informáticos a las cadenas de suministros.
Pero no pensemos que los ciberataques se dirigen sólo a las empresas e instituciones: cada día hay miles de ataques informáticos para robar datos a los internautas, más de 30 millones en España, que navegan dos horas y media al día de media, muchas en redes sociales y bajándose aplicaciones que son una gran puerta de entrada de virus maliciosos. En 2021, las autoridades españolas detectaron 180.000 ciberataques a empresas, redes y particulares, según una comunicación enviada por el Gobierno al Congreso. De ellas, 109.126 son los incidentes de seguridad gestionados en 2021 por el INCIBE, el Instituto Nacional de Ciberseguridad, con sede en León: 90.168 fueron incidentes a empresas y ciudadanos, 18.278 a la red académica y de investigación y 680 a operadores estratégicos.
Otro indicador de que tenemos un serio problema de ciberseguridad es que se han triplicado las denuncias por delitos informáticos: de 92.716 en 2016 a 305.477 denuncias en 2021, según el Ministerio del Interior, con 240.100 víctimas afectadas (+11,4% que en 2020). Con ello, los delitos informáticos (15,6% de todas las denuncias) se aúpan al 2º puesto en el ranking de delitos tras el hurto, por lo que algunos expertos dicen que “es más fácil que nos atraquen en Internet que en la calle”. La mayoría de estas denuncias son por “fraudes informáticos” (87,4%), quedando a mucha distancia las denuncias por amenazas y coacciones informáticas (5,7%) y las falsificaciones (3,4%). Lo preocupante además es que sólo se esclarecieron el 15,9% de las denuncias y sólo se detuvo por ellos a un 4,5% de los investigados, 13.801 personas (ojo: el 71,2% hombres y el 79,3% españoles). Dos datos que revelan la dificultad de estas investigaciones (seguir la pista a delincuentes amparados en redes y servidores internacionales) y la falta de medios de la policía (el Plan contra la Cibercriminalidad de Interior contó con 1 millón de euros en 2021…).
Con todo, en los últimos años han aumentado los medios y las medidas contra la ciberdelincuencia, en Europa y en España. En enero de 2019, este Gobierno aprobó la Estrategia Nacional contra el Crimen Organizado, que incluía un Plan Estratégico de Ciberseguridad. Y en abril de 2019, el Consejo de Seguridad Nacional (CSN) aprobó la Estrategia Nacional de Ciberseguridad. En julio de 2020 se creó el Foro Nacional de Ciberseguridad, un espacio de colaboración entre la Administración y las grandes empresas privadas. Y en mayo de 2021, el Gobierno aprobó el Plan de choque contra la Ciberseguridad, un paquete que incluye casi 1.000 millones de inversión en ciberseguridad, 600 millones de los Fondos de Recuperación UE. Tras la invasión de Ucrania, el Gobierno español decidió, el 9 de marzo de 2022, elevar el nivel de alerta cibernética al nivel 3 (hay 5 niveles), creando un Comité de Ciberseguridad dirigido por el CNI.
Actualmente, hay en España un triple mecanismo público de defensa ante los ciberataques: el INCIBE, que protege a los ciudadanos (con alertas y consejos, su web y el teléfono 017), las empresas y los organismos universitarios y de investigación, el Centro Criptográfico Nacional (adscrito al CNI), que protege a la administración y al sector público y el equipo de respuesta de emergencias informáticas (CERT) de Defensa. Y además está la Oficina de Coordinación de la Ciberseguridad (integrada por policías y guardias civiles) que colabora con las empresas para la Ciberdefensa de los 171 operadores críticos (que en 2021 sufrieron 680 incidentes graves, según el INCIBE), en la energía, banca, agua y salud. Sin olvidar que la mayoría de las grandes empresas del IBEX cuentan con Centros de respuesta ante emergencias informáticas (CERT), igual que Cataluña y País Vasco, coordinados con los del Estado.
Todos ellos suponen una enorme red de Ciberdefensa, que realiza básicamente un trabajo preventivo (detectar la llegada de virus a las redes, para evitar ataques) y posterior a los ciberataques, coordinando medidas. Un sistema de protección, público y privado, que ha convertido a España en el 4º país más ciberseguro del mundo (en 2016 éramos el 23º), según el Índice de Seguridad Global 2020 elaborado por la Unión Internacional de Telecomunicaciones (ONU): sólo estamos por detrás de EEUU, Reino Unido y Arabia Saudí (empatados en 2º lugar) y Estonia, ocupando el 4º puesto con Corea del Sur y Singapur y por delante en ciberseguridad de Francia (9º), Alemania (13º) y Portugal (14º).
Mientras España ha avanzado en Ciberseguridad global, como país, y en la estrategia de las grandes empresas (bancos, aseguradoras, energía, telecomunicaciones, servicios), queda mucho por hacer en la ciberseguridad de la mayoría de las empresas (sobre todo pymes, que sólo invierten un 6% en seguridad informática) y de los particulares, los internautas. En principio, el 88% de las empresas piensan que su gasto y su personal en ciberseguridad “es suficiente”, según el estudio de Sophos, con lo que la mayoría no cree que el problema sea invertir más en ciberseguridad. Los expertos señalan que muchas sí que necesitan más inversión y más expertos, aunque lo fundamental es poner la Ciberseguridad como una de las grandes prioridades estratégicas (como la financiación, el marketing o los recursos humanos) y dedicarse a buscar “proactivamente” los fallos de seguridad y las amenazas, cuidando especialmente las “brechas” en proveedores, empleados y clientes.
En el caso de los internautas, la mayoría está preocupado por la seguridad pero apenas toman medidas para protegerse, que INCIBE reitera en su web: la mayoría no tiene antivirus solventes, se baja numerosas aplicaciones e intercambia archivos sin precaución, compra en tiendas online poco seguras, abre correos y enlaces sin precaución, no cambia y repite contraseñas, desconoce o no utiliza las herramientas de privacidad, etc., etc. Y enfrente, cada día, los ciberdelincuentes son cada día más imaginativos y multiplican los sistemas para robarnos datos o entrar en nuestros dispositivos. Es como si hubiera una epidemia de ladrones de casas y nosotros no tuviéramos una puerta blindada y bien cerrada. Resulta clave la formación, sobre todo a los jóvenes, para enseñarles a conectarse de forma segura a la Red. Y buscar programas y empresas que nos ayuden a trabajar más seguros.
La ciberdelincuencia ha crecido más rápido que cualquier delito y crecerá más en el futuro, según la Agencia Europea de Ciberseguridad, amparada en la globalización de los ataques, desde cualquier lugar del mundo y a cualquier empresa o particular, con una mayor facilidad para los ataques (se ofrecen programas de hackeo en la Red oscura) y virus maliciosos cada vez más sofisticados e indetectables. Eso exige una mayor cooperación internacional, para compartir información y contramedidas, cerrando puertas a la ciberdelincuencia con legislación y medios. Es una Ciberguerra, que exige un ejército preparado a nivel del G-20, el G-7 y la Unión Europea. Pero poco puede hacerse si empresas e internautas no nos tomamos más en serio nuestra Ciberseguridad. Y ponemos más medios para que no nos roben.
No hay comentarios:
Publicar un comentario