Cada PC, móvil, rúter, vehículo o electrodoméstico conectado es un cofre del tesoro. “Todos tenemos algo que le interesa a un ciberdelincuente”, asevera Luis Hidalgo, del Instituto Nacional de Ciberseguridad (Incibe). Esta mina individual, empresarial e institucional de dimensiones enormes es la meta del pirateo informático, que han alcanzado niveles nuevos no solo por cantidad, sino más bien asimismo por sofisticación. “Cada día se registran 90 millones de ciberataques en el mundo [más de un millar por segundo] que suponen un coste de 10,5 trillones de euros. Si el cibercrimen fuera un país, sería la tercera economía mundial solo por detrás de EE UU y China”, advierte María Jesús Almanzor, consejera encargada de Ciberseguridad y Nube en Telefónica Tech, a lo largo del CSI Radar, un encuentro internacional organizado por Medina Media Events en Sevilla.
La rentabilidad del cibercrimen ha generado organizaciones poco a poco más especializadas y eficientes. “Uno de cada cinco delitos son a través de la red”, advierte Juan Salom Clotet, coronel jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil, quien prevé que medren hasta lograr en un par de años las ciento cincuenta demandas, el veinticinco% de todos y cada uno de los delitos anuales. “El 84% de las estafas son por internet”, destaca.
Y “cada día los malos son más rápidos”, asegura Almanzor. Lo corrobora Isabel Tristán, directiva de Seguridad de IBM:. “Los cibercriminales han evolucionado y son capaces de desplegar ataques de ransomware [secuestro] en menos de tres días, mientras que el tiempo medio de las empresas para detectarlo es de siete meses y de dos meses para reaccionar”. La directiva de IBM espera que la inteligencia artificial se sume a las defensas y deje reducir a menos de treinta minutos el tiempo de investigación medio, que ahora es de un par de días.
Además de diligentes, los ciberataques cada vez son más innovadores: aumentan los vectores y las estrategias, en especial las orientadas al fallo humano. Caixabank ha alertado recientemente de un SMS falso que se incorpora al historial de mensajes del banco tal y como si fuera suyo y que acaba con la llamada de un supuesto gestor de la entidad.
Cualquier persona, en todos y cada uno de los niveles, es diana de los ataques. Sergio de los Santos, directivo del área de Innovación y Laboratorio de Telefónica Tech, recuerda casos como el del link mandado a un directivo de Uber, quien no pinchó en un link malicioso y recibió una llamada de alguien que se hizo pasar por responsable de seguridad para demandarle que lo hiciese por el hecho de que era preciso. La hoy presidente del Banco Central Europeo, Christine Lagarde, recibió un SMS de la excanciller alemana Angela Merkel, a la que llamó para confirmar que era suyo y descubrió que era una puerta falsa. “Probablemente, para instalar un programa espía”, comenta, en referencia a ataques como los generados por el conocido Pegasus, que ha inficionado móviles de Gobiernos, políticos, cronistas y empresarios internacionales.
“Hay que ser capaz de seguirlos. Es importante que los buenos seamos igual de rápidos e innovadores”, advierte Almanzor, quien calcula un costo medio por empresa perjudicada por un programa malicioso en ciento cinco mil euros. Ese juego del gato y el ratón lo define Salom Clotet como “espiral de acción reacción”.
Pero la labor no es sencillo. Además de que los ataques se acentúan y se hacen más complejos, la directiva de Telefónica advierte de que no hay un “perímetro fijo”. “No sabemos dónde está la frontera. No son tangibles físicos si no digitales y van creciendo. Lo que tenemos no nos vale”, asevera con relación a la ineficacia de las soluciones individuales. Hidalgo lo corrobora: “Hemos avanzado muchísimo, pero no es suficiente.
También coincide Tristán, quien alerta de que “la ciberseguridad tradicional”, centrada en la predisposición individual de tecnologías y sistemas, ha quedado obsoleta”. En este sentido, José Capote, responsable de Huawei en este campo, reconoce que, en la era del 5G, “las fronteras de la red están difuminadas y resultan más complejas de defender”.
Confianza cero no es un producto, es un enfoque. No confiar ni en el que está dentro
María Jesús Almanzor, consejera encargada de Ciberseguridad y Nube en Telefónica Tech
Almanzor aboga por la “confianza cero”. “No es un producto, es un enfoque. No confiar ni en el que está dentro”, asegura. Y lo asevera por el hecho de que, como destaca Pedro Chopo, de la compañía de seguridad Proofpoint, “el 97% de las brechas de ataque son a través del correo electrónico y, sin embargo, solo se dedica el 10% del presupuesto a protegerlo”.
De esta forma, cada individuo es una puerta al cibercrimen. Según Chopo, “el 60% de los incidentes se debe a un acceso erróneo de algún empleado”. También coincide De los Santos, quien resalta que, de los diez vectores de ataque más frecuentes, la enorme mayoría dependen del usuario.
Por eso defiende como medida esencial la implicación de cada individuo en las amenazas, que afectarán a todos, tarde que temprano. Como asevera Almanzor, “solo hay dos tipos de empresas: las que han sufrido un ataque y las que no lo saben”. En este sentido, José Girón, inspector de la Policía Científica de Sevilla, apunta “la soberbia” como una de las mayores contrariedades de la prevención: “Quien crea que lo controla todo, no lo hace. Todo es tan cambiante que en minutos ya no sirve algo que está vigente en un momento determinado”.
Quien piensa que lo controla todo, no lo hace. Todo es tan variable que en minutos ya no sirve algo que está actual en un instante determinado
José Girón, inspector de la Policía Científica de Sevilla
Pero para De los Santos, “la concienciación sin formación es solo miedo”, por lo que apuesta por la educación de todas y cada una de las partes, en todas y cada una de las esferas. “El usuario necesita entender”, advierte. En este sentido, Hidalgo identifica un patrón común conocido como “clicador feliz” (happy clicker) y que se refiere al usuario que pincha de forma apremiante en todos y cada link que le llega. “Estos están, y mucho, en las capas altas de una organización”, advierte.
El escenario es muy semejante en todos y cada uno de los ámbitos, si bien el mayor tamaño y peligro potencial de un ataque de denegación de servicios en entidades de abastecimiento de agua, sanidad o energéticas, por servirnos de un ejemplo, hace que el porcentaje de desprotección se reduzca, si bien no se suprima. Juan Miguel Pulpillo, organizador del Centro de Ciberseguridad Industrial (CCI), explica que, en este campo, “aunque se hace cierta evaluación del riesgo y del incidente, entre el 40% y el 60% de las empresas no han definido medidas de seguridad”.
Almanzor apuesta por la resiliencia cibernética, que implica verificaciones permanentes, adelantar, prevenir, resistir y recobrar. Y por la cooperación, como por la integración de asociados tecnológicos especializados.
Pero esto no va a ser suficiente por el hecho de que la actividad delictiva proseguirá y medrará, como advierte Salom Clotet. El pasado año, solo en España, se registraron ciento dieciocho mil incidentes de ciberseguridad. Por lo tanto, queda un frente más que radica en la prosecución de estos delitos. Gabriel González, fiscal encargado de Criminalidad Informática, destaca que “las innovaciones tecnológicas hacen que determinados delitos se recojan en el Código Penal a posteriori de la ocurrencia del hecho delictivo”. La legislación va tras la realidad.
El coronel jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil apunta que aun los delitos que ya están recogidos se castigan con penas que no superan los un par de años de cárcel en su mayor parte, salvo los de pedofilia, que pueden suponer hasta 4 años. Salom sugiere que se analice si las penas son proporcionales a los recursos que consumen y el daño que ocasionan los delitos en la red.
Santander (España), 1985. Después de obtener su licenciatura en Periodismo en la Universidad Complutense de Madrid, decidió enfocarse en el cine y se matriculó en un programa de posgrado en crítica cinematográfica.
Sin, embargo, su pasión por las criptomonedas le llevó a dedicarse al mundo de las finanzas. Le encanta ver películas en su tiempo libre y es un gran admirador del cine clásico. En cuanto a sus gustos personales, es un gran fanático del fútbol y es seguidor del Real Madrid. Además, ha sido voluntario en varias organizaciones benéficas que trabajan con niños.