El cibercrimen alcanza niveles inéditos: 90 millones de ataques anuales que cuestan 10,5 trillones de euros | Tecnología

Cada ordenador, móvil, rúter, transporte o electrodoméstico conectado es un cofre del caudal. “Todos tenemos poco que le interesa a un ciberdelincuente”, afirma Luis Hidalgo, del Instituto Doméstico de Ciberseguridad (Incibe). Esta mina individual, empresarial e institucional de dimensiones gigantescas es el objetivo del pirateo informático, que han escaso niveles inéditos no solo por cantidad, sino incluso por sofisticación. “Cada día se registran 90 millones de ciberataques en el mundo [más de un millar por segundo] que suponen un coste de 10,5 trillones de euros. Si el cibercrimen fuera un país, sería la tercera crematística mundial solo por detrás de EE UU y China”, advierte María Jesús Almanzor, consejera delegada de Ciberseguridad y Abundancia en Telefónica Tech, durante el CSI Radar, un entrevista internacional organizado por Medina Media Events en Sevilla.

La rentabilidad del cibercrimen ha generado organizaciones cada vez más especializadas y eficaces. “Uno de cada cinco delitos son a través de la red”, advierte Juan Salom Clotet, coronel director de la Pelotón de Coordinación de Ciberseguridad de la Cuidado Civil, quien prevé que crezcan hasta alcanzar en dos abriles las 150.000 denuncias, el 25% de todos los delitos anuales. “El 84% de las estafas son por internet”, resalta.

Y “cada día los malos son más rápidos”, asegura Almanzor. Lo corrobora Isabel Tristán, directiva de Seguridad de IBM:. “Los cibercriminales han evolucionado y son capaces de desplegar ataques de ransomware [secuestro] en menos de tres días, mientras que el tiempo medio de las empresas para detectarlo es de siete meses y de dos meses para reaccionar”. La directiva de IBM confía en que la inteligencia industrial se sume a las defensas y permita acortar a menos de 30 minutos el tiempo de investigación medio, que ahora es de dos días.

Encima de ágiles, los ciberataques son cada vez más innovadores: aumentan los vectores y las estrategias, especialmente las orientadas al error humano. Caixabank ha alertado recientemente de un SMS impostor que se incorpora al historial de mensajes del sotabanco como si fuera suyo y que culmina con la indicación de un supuesto gerente de la entidad.

Cualquier persona, en todos los niveles, es diana de los ataques. Sergio de los Santos, director del ámbito de Innovación y Laboratorio de Telefónica Tech, recuerda casos como el del enlace enviado a un directivo de Uber, quien no pinchó en un enlace taimado y recibió una indicación de cualquiera que se hizo acaecer por responsable de seguridad para reclamarle que lo hiciera porque era necesario. La hoy presidenta del Tira Central Europeo, Christine Lagarde, recibió un SMS de la excanciller alemana Angela Merkel, a la que llamó para confirmar que era suyo y descubrió que era una puerta falsa. “Probablemente, para instalar un software infiltrado”, comenta, en indirecta a ataques como los generados por el conocido Pegasus, que ha infectado móviles de Gobiernos, políticos, periodistas y empresarios internacionales.

“Hay que ser capaz de seguirlos. Es importante que los buenos seamos igual de rápidos e innovadores”, advierte Almanzor, quien calcula un coste medio por empresa afectada por un software taimado en 105.000 euros. Ese ocio del pícaro y el ratón lo define Salom Clotet como “bucle de movimiento reacción”.

Pero la tarea no es acomodaticio. Encima de que los ataques se intensifican y se hacen más sofisticados, la directiva de Telefónica advierte de que no hay un “perímetro fijo”. “No sabemos dónde está la frontera. No son tangibles físicos si no digitales y van creciendo. Lo que tenemos no nos vale”, afirma en relación con la ineficacia de las soluciones individuales. Hidalgo lo corrobora: “Hemos innovador muchísimo, pero no es suficiente.

Asimismo coincide Tristán, quien alerta de que “la ciberseguridad tradicional”, centrada en la disposición individual de tecnologías y sistemas, ha quedado obsoleta”. En este sentido, José Capote, responsable de Huawei en este ámbito, reconoce que, en la era del 5G, “las fronteras de la red están difuminadas y resultan más complejas de defender”.

Confianza cero no es un producto, es un enfoque. No aguardar ni en el que está en el interior

María Jesús Almanzor, consejera delegada de Ciberseguridad y Abundancia en Telefónica Tech

Almanzor aboga por la “confianza cero”. “No es un producto, es un enfoque. No aguardar ni en el que está en el interior”, asegura. Y lo afirma porque, como resalta Pedro Chopo, de la empresa de seguridad Proofpoint, “el 97% de las brechas de ataque son a través del correo electrónico y, sin bloqueo, solo se dedica el 10% del presupuesto a protegerlo”.

De esta forma, cada individuo es una puerta al cibercrimen. Según Chopo, “el 60% de los incidentes se debe a un llegada falso de algún empleado”. Asimismo coincide De los Santos, quien destaca que, de los 10 vectores de ataque más habituales, la gran mayoría dependen del heredero.

Por eso defiende como medida fundamental la implicación de cada individuo en las amenazas, que afectarán a todos, tarde o temprano. Como afirma Almanzor, “solo hay dos tipos de empresas: las que han sufrido un ataque y las que no lo saben”. En este sentido, José Girón, inspector de la Policía Científica de Sevilla, señala “la soberbia” como una de las mayores dificultades de la prevención: “Quien crea que lo controla todo, no lo hace. Todo es tan cambiante que en minutos ya no sirve poco que está actual en un momento determinado”.

Quien crea que lo controla todo, no lo hace. Todo es tan cambiante que en minutos ya no sirve poco que está actual en un momento determinado

José Girón, inspector de la Policía Científica de Sevilla

Pero para De los Santos, “la concienciación sin formación es solo miedo”, por lo que postura por la educación de todas las partes, en todas las esferas. “El heredero necesita entender”, advierte. En este sentido, Hidalgo identifica un patrón popular conocido como “clicador oportuno” (happy clicker) y que se refiere al heredero que pincha de forma compulsiva en cada enlace que le llega. “Estos están, y mucho, en las capas altas de una ordenamiento”, advierte.

Coincide Almanzor en la desliz de conocimiento en todos los niveles al destacar que “el 90% de las empresas en universal no sabe su estado coetáneo de seguridad”. “No tienen un plan de recuperación y función delante un ataque que va a acaecer. No están preparadas”, advierte.

El escena es muy parecido en todos los sectores, aunque el longevo tamaño y peligro potencial de un ataque de denegación de servicios en entidades de suministro de agua, sanidad o energéticas, por ejemplo, hace que el porcentaje de desprotección se reduzca, aunque no se elimine. Juan Miguel Pulpillo, coordinador del Centro de Ciberseguridad Industrial (CCI), explica que, en este sector, “aunque se hace cierta evaluación del peligro y del incidente, entre el 40% y el 60% de las empresas no han definido medidas de seguridad”.

Almanzor postura por la resiliencia cibernética, que implica verificaciones permanentes, anticipar, predisponer, resistir y recuperar. Y por la colaboración, así como por la incorporación de socios tecnológicos especializados.

Pero esto no será suficiente porque la actividad delictiva continuará y crecerá, como advierte Salom Clotet. El pasado año, solo en España, se registraron 118.000 incidentes de ciberseguridad. Por lo tanto, queda un frente más que reside en la persecución de estos delitos. Gabriel González, fiscal delegado de Criminalidad Informática, resalta que “las innovaciones tecnológicas hacen que determinados delitos se recojan en el Código Penal a posteriori de la ocurrencia del hecho delictivo”. La reglamento va por detrás de la efectividad.

El coronel director de la Pelotón de Coordinación de Ciberseguridad de la Cuidado Civil señala que incluso los delitos que ya están recogidos se castigan con penas que no superan los dos abriles de prisión en su mayoría, exceptuado los de pederastia, que pueden suponer hasta cuatro abriles. Salom sugiere que se analice si las penas son proporcionales a los posibles que consumen y el daño que causan los delitos en la red.

Puedes escribir a [email protected] y seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para tomar nuestra newsletter semanal.