“La evolución del cibercrimen se nos está yendo de las manos”

El responsable de la unidad de delitos telemáticos y teniente Coronel de la Guardia Civil, Juan Antonio Rodriguez Álvarez de Sotomayor, no ha dudado en asegurar que la evolución del cibercrimen “se nos está yendo de las manos”, tal y como explicó en la webinar "La ciberseguridad en la totalidad del tejido empresarial español", organizado por la Alianza Española de Seguridad y Crisis (Aesyc), donde evidenció el aumento del cibercrimen en nuestro país, que se refleja al contabilizar el aumento desde los 49.935 “hechos delictivos conocidos” en 2014 y los 287.963 registrados en 2020.

Según explicó Rodríguez, entre 2018 y 2020 hubo un aumento del 36% de hechos delictivos, de los que el 88,1% de los mismos fueron fraudes informáticos, y llegaron hasta un 90% en el último año. El año de la pandemia bajó hasta un 32% la incidencia pero, definitivamente, “no hay otro ámbito delictivo que esté creciendo de un año para otro por encima del 30%” según su análisis.

En el webinar, organizado para identificar los riesgos y amenazas a las que están expuestas principalmente las pymes españolas, así como resolver dudas y dar pautas generales para poseer un debido control técnico, el teniente coronel Rodriguez, afirmó creer en la máxima de George Foster que dice “todo cambio tecnológico lleva un cambio social”, y aseguró que no se debe olvidar a la hora de entender las amenazas a las que no estamos enfrentando en materia de ciberseguridad, “que hay que contrarrestar con la prevención, lo que es muy importante para luchar contra los autores de la ciberdelincuencia, pero no es la principal respuesta que debemos dar”.

Para este responsable de la GC, “son delitos que tienen un componente económico como, por ejemplo, el ransomwere, que es el delito cumbre vinculado con el cibercrimen. No tiene carácter desestabilizador, ni vínculos con actores Estados, ni terrorismo; esto es puro y duro cibercrimen, ciber delincuencia cuya actividad busca ganar dinero, sin ningún interés en desestabilizar sociedades o Estados en general. Estos datos están creando una sensación en la ciudadanía y las empresas de que el cibercrimen es difícil de investigar, por lo que no hay que denunciarlo”.

Rodriguez distinguió entre los delitos que no existirían sin la tecnología y los que sí, “llamados dependientes de la misma y los facilitados por ella, como la pornografía infantil, cuyos números son enormes, y antes de internet eran muy escasos” además de los específicos anónimos que se mueven en la Deep Web, los mercados ilícitos y los delitos relacionados con las criptodivisas. Según su experiencia, los actos delictivos o engaños que más le van a afectar a una empresa son el ransomware, el business e-mail compromise (BEC), el phising (vinvulado con llamadas de teléfono), el spearphising y las criptodivisas.

Tras las pesquisas y la recogida de datos para luchar contra los ciberdelincuentes, los expertos policiales “en más de la mitad de las investigaciones necesitamos realizar una petición transfronteriza de e-evidence, que hacemos a través de las redes 24/7, en más de un 65% de las ocasiones”. La e-evidence es relevante en el 85% de media de las investigaciones criminales, en los últimos cuatro años las peticiones a los principales proveedores ha aumentado un 70%, y dos tercios de estos delitos con petición de pruebas internacional no pueden al final ser investigados o juzgados”.

El Teniente Coronel destacó la labor de los equipos específicos de Policía Nacional y la Guardia Civil a nivel nacional, que además cuentan con la Europol —a través de European Ciberseguriy Center (EC3)—, de Interpol, y de las redes 27/7 (como la creada a raíz del Convenio de Budapest contra el Cibercrímen, del G7 y de la misma Interpol).  Asimismo, explicó los cuatro dominios de actuación según la UE para luchar contra los delitos en la red; cibercrimen, ciberseguridad, ciberdefensa, y la ciberediplomacia, y recordó cuáles eran las estructuras de respuesta con las que contamos, como los organismos nacionales (INCIBE, CCN-CERT y el Mando Conjunto de Ciberdefensa), y las estructuras menos conocidas como la  red de fiscales de criminalidad informática en España, o la red europea de jueces de lucha contra el cibercrimen. 

El ransomware, la peor ciberamenaza para las empresas

En la mesa redonda posterior participaron Juan Palomino, del departamento social, penal y económico en Perez LLorca , Carlos Manuel Fernández, DPO de la Secretaria de Estado de Seguridad, José Javier Martínez Herráiz, Delegado del Rector para Administración Electrónica y Seguridad de la Universidad de Alcalá, David Pérez Lázaro, Socio de Mnemo y Eduardo Solís, Responsable de Consultoría de Entelgy Innotec Security, que arrancaron con el reto de responder si las empresas españolas están realmente preparadas en materia de ciberseguridad.

Según Pérez Lázaro, “las empresas están mejor, pero también peor. Se han abordado nuevos retos por la pandemia en los que la ciberseguridad empezó a tener una importancia capital con respecto a dos años antes. E irán a mejor por los Fondos de Recuperación de la UE y el Kit Digital. Lo peor son esos alarmantes datos del crecimiento de las amenazas y el cibercrimen”.

A la hora de analizar las amenazas y riesgos a los que se enfrentan las empresas españolas, la mesa coincidió con el teniente coronel en señalar al ransomware como la peor y más incisiva, porque afecta a la continuidad del negocio de las organizaciones más pequeñas.

Al ahora de invertir y cuidar aspectos concretos de la ciberseguridad, en opinión de Eduardo Solis, como las empresas deben mantenerse sí o sí conectadas, es el proveedor de servicios uno de las factores de entrada de los fallos de ciberseguridad “por lo que hay que asegurarse de su calidad y monitorizar constantemente”. Para él, también hay poner el foco en las cadenas de suministro, en las suplantaciones de identidad, de los ataques internos, y de la falsa sensación de seguridad que tienen mucha empresas “que se consideran, por pequeñas, faltas de interés para el cibercrimen”.

A la hora de evitar ser objeto de ciberdelitos, según se expuso en la mesa, hay que ver la ciberseguridad como algo integral, que involucra a toda la compañía, por lo que es necesaria la concienciación y la formación de impacto, y que se despierte la capacidad de duda y verificación de los empleados, a lo que hay que sumar las necesarias implementaciones técnicas (actualizaciones, antivirus, etc).

José Javier Martínez en su intervención abundó en la falta de concienciación y entrenamiento adecuado, y destacó que muchos de los ataques se producen por fallos en el marco normativo y organizativo, más que en el tecnológico, “como por ejemplo por tener contraseñas débiles o predecibles, predisposición al phising, por la mala gestión de los backup, el uso de software pirata, el uso de dispositivos personales sin actualizar, los gestores de contenido gratuito, o a nivel más tecnólogo, la falta de cifrazo en los dispositivos profesionales. El eslabón más débil siempre está en las personas” más que en los aspectos técnicos.  

Como experiencia reciente, Martínez dijo también que, al menos en las Administraciones Públicas, “habría que cumplir el Esquema Nacional de Seguridad —actualizado hace 15 días— pero muchas organizaciones no lo cumplen porque cuesta dinero y esfuerzo, y además no contempla régimen sancionador alguno”.

En relación a la incidencia que en la ciberseguridad empresarial tienen las diferentes normativas, en opinión de Carlos Manuel Fernández, de la Secretaría de Estado de Ciberseguridad, en las empresas “falta asesoramiento de calidad por parte de la instituciones públicas y privadas” con el adecuado estudio de la reglamentación, además de la citada formación continua, y más que la concienciación, el convencimiento de la importancia de la seguridad en las organizaciones”.

Juan Palomino, como experto legal, habló de la necesidad de centrar cada caso, diferenciando los efectos, sobre todo económicos, de las acciones punibles de los cibercriminales. Según este experto jurista, “el código penal, tras su actualización del 2015, regula y desarrolla de manera pormenorizada estos delitos. El problema es la investigación, no la normativa legal. Incluso, ahora se está acuñando el concepto de paraíso tecnológico (aquellos países donde están alojados los servidores), y otros países que no contestan a los requerimientos de información de los organismos policiales cuando se les pide que identifiquen a los atacantes”.

Palomino puso el foco en las consecuencias jurídicas y económicas para las empresas a la hora de enfrentarse a reclamaciones tras sufrir ataques de ciberseguridad que recurren en un perjuicio a terceros, y defendió la importancia de la creación de un comité de crisis en cada organización, “que se haga cargo de la comunicación, de documentar lo ocurrido, y de hacer frente a la contestación que sea necesaria ante un incidente que puede tener consecuencias legales para la empresa”.

La conductora del debate, Inés Bermejo, del Grupo Adaptalia, organizador del evento junto a Aesyc, resumió las conclusiones de los expertos que coicidieron en la necesidad de "formar, concienciar, en que todo el personal de las empresas hagas un uso responsable de las nuevas tecnologías, en analizar los riesgos y decidir cuánto se debe invertir en medidas técnicas y organizativas, que después deberán testearse, protocalizar y ponerlas en marcha".