Récord de ciberataques (sin Ley)

Europa está empeñada en una política de Seguridad propia, que no consiste en comprar más tanques o aviones sino en políticas que también luchen contra los hackers de Putin (atacaron a España en febrero) o los ciberdelincuentes internacionales, un negocio criminal que supera a las drogas, la trata o el tráfico de armas. Los ciberataques se disparan y 2024 ha sido un año récord, con ataques a grandes empresas españolas, bancos e instituciones, incluidos hospitales. Y los delitos informáticos se duplican en España desde 2019 , afectando a una gran parte de ciudadanos, con más eficacia gracias al uso de la Inteligencia Artificial (IA). El problema es que las empresas (sobre todo las pymes) no gastan suficiente en ciberseguridad, faltan expertos y los ciudadanos no tomamos medidas eficaces. Y encima, España no tiene aún una Ley de Ciberseguridad, que Bruselas obligó a aprobar para octubre de 2024. Urge un pacto político  para aprobarla cuanto antes y medidas para garantizar nuestra ciberseguridad, porque estamos a merced de una potente delincuencia internacional y geopolítica.

                            Enrique Ortega

La gran desventaja de que todo el mundo funcione hiperconectado a Internet es que somos muy vulnerables a los ataques, desde la energía, los transportes o las infraestructuras básicas a los datos sanitarios o nuestras cuentas bancarias. Y cada día más. De hecho, se estima que cada segundo se producen 500 ciberataques en el mundo. Y los daños son tales que habrán superado los 10 billones de dólares en 2024, el 1% del PIB mundial. Así que la ciberdelincuencia se ha configurado ya como el primer negocio criminal en el mundo, por delante de las drogas, la trata de personas o el tráfico de armas. Un negocio ilegal que tiene dos ventajas, según los expertos: requiere poca inversión previa y pocos medios y tiene un enorme “retorno” (el 1.400%). Y en los últimos años, cuenta además con la  ayuda de la Inteligencia artificial (IA), que sofistica y mejora los ciberataques.

El año 2024 ha batido todos los récords de ciberdelincuencia, según los expertos, y 9 de cada 10 organizaciones sufrieron al menos una amenaza cibernética, según el Foro Económico Mundial. Estos ciberataques han aumentado con la guerra de Ucrania, por la participación de Rusia y sus granjas de bots (programas informáticos que simulan interactuar en Internet) en ataques a infraestructuras básicas europeas (aumentaron los ataques a España en febrero, tras la visita de apoyo de Sánchez a Kiev), así como por la proliferación de dispositivos conectados a Internet (Internet de las cosas), el auge del 5G y la Inteligencia Artificial, que permite detectar y aprovechar mejor las brechas de seguridad de instituciones, empresas y ciudadanos, que siguen sin invertir suficiente en su ciberseguridad. El problema es tan serio que el Fondo Monetario Internacional (FMI) ha alertado que los ciberataques son “una amenaza crítica” para la estabilidad  financiera mundial.

El último informe de Europol, la policía europea, sobre los ciberataques en la UE señala el salto que han dado en 2024, los ciberataques contra empresas e infraestructuras críticas europeas, con la técnica del ransomware: robo de datos o anulación de las infraestructuras con una petición de rescate para anularlo. El informe alerta que estos ciberataques son cada vez más sofisticados, con cifrados más complejos, que no solo pretenden robar datos (para luego venderlos en el mercado negro digital) sino acceder a información sensible e inutilizar servicios e infraestructuras críticas (como suministro eléctrico, aeropuertos y hospitales), poniendo en riesgo servicios públicos y la propia seguridad nacional.

Tras el ransomware a empresas e instituciones, Europol alerta sobre el crecimiento de los fraudes online a particulares, con el phishing (“pesca” de datos), cada vez más sofisticados, ya que no sólo son mails que buscan que los internautas envíen datos y contraseñas, sino que se han perfeccionado los sistemas de fraude, con la Inteligencia artificial (IA). Así, se ha generalizado el “fraude del CEO”, por el cual un trabajador recibe un correo (o un vídeo o nota de voz) del jefe de su empresa (que parece muy “real”) en el que le pide que haga un pago o transferencia. Y también  se envía a proveedores, para que hagan pagos o paguen facturas falsas. O a empleados de recursos humanos para que envíen datos de empleados. Y también se han popularizado los “fraudes románticos”, a través de redes sociales o aplicaciones de citas, donde se pide el envío de dinero o la colaboración en “inversiones solidarias”. 

Y además, Europol alerta sobre el auge de las criptomonedas y su colaboración con los ciberdelincuentes, para cobrar rescates en criptos y comprar y vender datos en la Web oscura (operaciones muy difíciles de rastrear), lo que configura unas redes internacionales de ciberdelincuencia cada vez más poderosas. Y también ha crecido de forma alarmante, según Europol, el material pedófilo y de explotación sexual infantil, cuya oferta se puede multiplicar gracias al uso de la Inteligencia artificial (IA).

En España, el año 2024 ha batido todos los récords de ciberdelitos: “la ciberseguridad ha llegado a un punto crítico”, señala un detallado informe de APTE, donde se destaca que los ciberataques al sector público se han duplicado en 2024 (+190%), mientras también han crecido los ataques a empresas, concentrados en un 62% en el sector tecnológico, financiero e infraestructuras. De hecho, ya en 2023, el Centro Criptográfico Nacional (dependiente del CNI) detectó en España 107.777 ciberataques, el doble que en 2022 (55.695), más otros 83.567 ataques “menores” detectados por el Incibe (Instituto Nacional de Ciberseguridad). Ahora, a falta de los datos oficiales de 2024, España es el 8º país del mundo con más ataques de ransomware y casi la mitad de los internautas han sufrido algún ataque informático el año pasado, según una Encuesta del CIS.

En 2024, han sido muchas las grandes empresas del IBEX 35 que han sufrido importantes ataques informáticos que se han hecho públicos (otros no), poniendo en riesgo los datos de sus clientes (Telefónica, Repsol, Banco de Santander), así como importantes empresas (Orange, FIATC Seguros, Total Energies, Alcampo, Cortefiel, Perfumerías Douglas, consultoras Ayesa o Aerotecnic), medios (RTVE, El Confidencial), organismos públicos (la DGT, INTA, Comisión Nacional de la Competencia o la Guardia Civil, a través de una empresa de chequeos médicos), hospitales, Ayuntamientos y Diputaciones…

En muchos casos, la ciberdelincuencia conduce a infracciones penales, que acaban en el listado de delitos del Ministerio del Interior. En 2024, el balance fue de 465.838 delitos informáticos, el 19% de todos los delitos reportados (9,6 ciberdelitos por cada 1000 habitantes frente a 41 delitos/1000 habitantes de los delitos “convencionales). Esta cifra supone duplicar los ciberdelitos de 2019 (218.032 reportados)  y cuadruplicarlos desde 2016 (92.716 ciberdelitos, sólo el 4,6% del total). Un dato llamativo: los ciberdelitos son 4 veces más que los robos con fuerza en viviendas y establecimientos (114.978 en 2024). El 88% de los ciberdelitos denunciados son fraudes (estafas) y el resto amenazas o coacciones (5,9%) y delitos sexuales (0,81%). A la cabeza de los ciberdelitos denunciados están Andalucía (17,5%), Cataluña (16,25%), Madrid (15,88%) y la Comunidad Valenciana (10,06%).

Lo que parece claro, frente a este auge de la ciberdelincuencia, es que no estamos preparados, ni las empresas ni los organismos públicos ni los particulares. De hecho, sólo el 2% de las organizaciones españolas cuentan con una infraestructura adecuada para enfrentarse a los ataques más sofisticados de la ciberdelincuencia, según el Informe de APTE. Y en el caso de las pymes, la mayoría siguen siendo muy vulnerables ante ciberataques que las pueden llevar al cierre. En  cuanto a los ciudadanos, el 60% admiten carecer de conocimientos (y de antivirus eficaces) para evitar sufrir fraudes online.

Frente a los ataques a empresas e infraestructuras críticas, es donde más se ha avanzado, pero también los que más preocupan, por su tremendo impacto. En España existe un triple mecanismo público de defensa ante los ciberataques: el INCIBE, que protege a los ciudadanos (con alertas y consejos, su web y el teléfono 017), las empresas y los organismos universitarios y de investigación, el Centro Criptográfico Nacional (adscrito al CNI), que protege a la administración y al sector público y el equipo de respuesta de emergencias informáticas (CERT) de Defensa. Y además está la Oficina de Coordinación de la Ciberseguridad (integrada por policías y guardias civiles) que colabora con las empresas para la Ciberdefensa de los 171 operadores críticos (que en 2023 sufrieron 237 incidentes graves, según el INCIBE), en la energía, banca, agua y salud. Sin olvidar que las grandes empresas cuentan con Centros de respuesta ante emergencias informáticas (CERT), igual que Cataluña y País Vasco, coordinados con los del Estado.

Todos ellos suponen una enorme red de Ciberdefensa, que realiza básicamente un trabajo preventivo (detectar la llegada de virus a las redes, para evitar ataques) y posterior a los ataques, coordinando medidas. Un sistema de protección, público y privado, que convirtió a España en el 4º país más ciberseguro del mundo (cuando en 2016 éramos el 23º), según el Índice de Seguridad Global 2020, elaborado por la Unión Internacional de Telecomunicaciones (ONU): sólo estamos por detrás de EEUU, Reino Unido y  Arabia Saudí. En el último informe, de 2024, ya no hay ranking, pero España está en el grupo de cabeza, entre los 46 paises más ciberseguros del mundo, con una nota de 95 sobre 100, la mayor puntuación en cuatro de los 5 pilares que analiza y superando la nota media de la UE-27.

Mientras España ha avanzado en Ciberseguridad global, como país, y en la estrategia de las grandes empresas (bancos, aseguradoras, energía, telecomunicaciones, servicios), queda mucho por hacer en la ciberseguridad de la mayoría de las empresas (sobre todo pymes, que sólo invierten un 6% en seguridad informática) y de los particulares, los internautas. Los grandes retos pendientes son, según el informe de APTE, la mayor inversión de empresas y organismos en ciberseguridad, la formación de expertos (faltan 80.000 especialistas), la vigilancia de los avances en IA para los ciberdelincuentes, el cierre de las brechas que deja el 5G y el Internet de las cosas, el aumento de empresas españolas que ofrezcan soluciones de ciberseguridad, una mayor cooperación público-privada, una mayor conciencia y seguridad de los internautas y más campañas públicas de prevención. Y sobre todo, reforzar una Estrategia europea de seguridad cibernética, más en momentos de crisis geopolíticas.

Europa se empezó a tomar en serio la Ciberseguridad con la Directiva 2022/2555 , aprobada el 14 de diciembre de 2022 por el Parlamento europeo y el Consejo. Conocida como NIS2, esta Directiva europea pretende que los paises europeos apliquen medidas, en sus organismos y empresas para mejorar la Ciberseguridad en la UE. Las entidades públicas y privadas afectadas (organismos, grandes empresas y pymes que presten servicios esenciales) están obligadas a hacer una evaluación de sus riesgos informáticos, aprobar medidas para elevar su seguridad y prevenir riesgos. Y además, deben informar de los ataques e incidentes significativos y comunicárselos a los personas afectadas, creando el responsable de Ciberseguridad, que elaborará y supervisará esta estrategia.

El plazo para que los paises europeos aplicaran esta Directiva NIS2 se terminó el 17 de octubre de 2024. Y España fue uno de los pocos paises europeos que no cumplió este plazo: ha retrasado su trasposición hasta el 14 de enero de 2025, cuando el Consejo de Ministros ha aprobado (tarde) un anteproyecto de Ley de Ciberseguridad, elaborado por tres Ministerios (Interior, Defensa y Transformación Digital). Ahí se fija qué entidades y empresas públicas están obligadas a aprobar planes de ciberseguridad, básicamente en sectores críticos: energía, transporte, banca y mercados financieros, sanidad, agua, infraestructuras digitales y servicios tecnológicos, industria nuclear y entidades públicas. En general, la Ley de Ciberseguridad afectará a organismos y empresas grandes y medianas (más de 50 empleados y más de 50 millones de euros de negocio), aunque también afectará a pequeñas empresas de sectores críticos (mensajería, gestión residuos, químicas, alimentación, proveedores de servicios digitales, seguridad privada e investigación científica).

Tras la ronda de consultas, el anteproyecto de Ley de Ciberseguridad volverá al Consejo de Ministros, para aprobarla como proyecto de Ley y enviarla al Parlamento, para tramitarla por el procedimiento de urgencia. Pero a la vista de los plazos y de la polarización política, no será posible aprobarla antes de finales de 2025. Sólo entonces podrá crearse el Centro Nacional de Ciberseguridad contemplado en la Ley, adscrito a la Presidencia del Gobierno y máximo organismo de coordinación con la política de Ciberseguridad de la UE. Un retraso que agrava la vulnerabilidad de organismos, empresas y ciudadanos, por lo que debería pactarse una tramitación rápida y unánime. Y en paralelo, habrá que destinar más recursos públicos a la Ciberseguridad de organismos e instituciones, así como incentivos y ayudas para que las empresas (sobre todo las pymes) se gasten más en seguridad informática y contraten a más expertos, formando mejor a sus empleados para cerrar brechas a los ciberdelincuentes. Y luego queda que nosotros, los internautas, tomemos conciencia de lo vulnerables que somos, gastemos en antivirus y seamos más precavidos en Internet.

Estamos en guerra frente a una Ciberdelincuencia sofisticada y poderosa, que pone en peligro nuestras economías, nuestros servicios básicos, nuestra intimidad y nuestro dinero, hasta nuestras libertades. No podemos perderla.