Carme Artigas: ¡°Los ciberdelitos son el primer crimen organizado a escala internacional, por delante del narcotr¨¢fico y de la trata de personas¡±

Siete de cada 10 empresas espa?olas sufrieron un ataque de ransomware en 2021 (un 234 % m¨¢s que el a?o anterior), seg¨²n un estudio de Sophos en colaboraci¨®n con m¨¢s de 5.000 empresas de entre 100 y 5.000 trabajadores en todo el mundo. Una amenaza global cuyo coste (la cantidad media pagada como rescate por las empresas) se multiplic¨® por cinco, hasta alcanzar los 812.360 d¨®lares (832.990 euros), a pesar de que los expertos recomiendan no pagar nunca el rescate y de que un 29 % de ellas no consiguiera recuperar la informaci¨®n que les hab¨ªa sido secuestrada incluso despu¨¦s de haber formalizado el pago del mismo: en Espa?a, por ejemplo, lo abonaron un 38 % de las mismas. Solo en 2021, el Instituto Nacional de Ciberseguridad (INCIBE) atendi¨® 109.126 incidentes, de los cuales m¨¢s de 90.000 correspondieron a ciudadanos y empresas. Con ocasi¨®n del mes europeo de la ciberseguridad, que celebra en 2022 su d¨¦cima edici¨®n centrada en el ransomware y el phishing bajo el lema Think Before U Click (Pi¨¦nsalo antes de hacer clic), EL PA?S conversa con Carme Artigas, secretaria de Estado de Digitalizaci¨®n e Inteligencia Artificial.

Pregunta. ?Existe hoy un mayor n¨²mero de ciberamenazas?

Respuesta. La ciberseguridad va asociada al per¨ªmetro de la transformaci¨®n digital: a medida que ampliamos la digitalizaci¨®n a distintos sectores productivos y actividades del ¨¢mbito personal, aumenta el per¨ªmetro de riesgo, pero este no puede privarnos de los beneficios que ofrece la digitalizaci¨®n. Es cierto que ante la pandemia se triplicaron los ataques en los entornos vinculados a la covid, aunque ya desde el 2021 estos regresaron a un estado normal. Lo que s¨ª se ha ampliado es el n¨²mero, la sofisticaci¨®n y el alcance de los mismos.

Hoy en d¨ªa la ciberseguridad forma parte de una pol¨ªtica nacional de seguridad. La geopol¨ªtica (lo estamos viendo en el conflicto de Rusia contra Ucrania) incluye una guerra h¨ªbrida, y la ciberseguridad forma parte de este riesgo. Todos los recursos del Estado y las estrategias de seguridad nacional contemplan estrategias de ciberseguridad, que adem¨¢s tambi¨¦n se pueden trasladar ¨¢mbito f¨ªsico. Con un ciberataque puedo cargarme, por ejemplo, un oleoducto, que es una infraestructura cr¨ªtica.

Si nos vamos a la misi¨®n que tiene un Estado de proteger a sus ciudadanos, empresas y Administraciones, ah¨ª tenemos una labor que debemos tomarnos en serio, porque la seguridad de un pa¨ªs es la seguridad de su eslab¨®n m¨¢s d¨¦bil. En el caso de las Administraciones p¨²blicas, Espa?a es el cuarto pa¨ªs m¨¢s ciberseguro del mundo, y el segundo a nivel europeo. Sin embargo, tenemos una gran labor que hacer en el ¨¢mbito de las administraciones auton¨®micas y locales, y en ese sentido hemos preparado un plan de choque de casi 1.000 millones?de euros.

P. ?C¨®mo se protege a empresas y administraciones?

R. Muchos ataques que ha habido ¨²ltimamente en la Administraci¨®n vienen porque un Ayuntamiento peque?ito tiene su p¨¢gina web en una nube abierta, comercial, que no sigue el esquema nacional de Seguridad. Una de las cosas que hemos hecho, como consecuencia de la guerra entre Rusia y Ucrania, es ampliar y modificar el esquema nacional de seguridad hacia un nivel m¨¢s alto. Y ?c¨®mo protegemos a las empresas? Pues llegando al eslab¨®n m¨¢s d¨¦bil: en este caso las pymes, que solo invierten un 6 % de su presupuesto en ciberseguridad. Las pymes no est¨¢n ni protegidas ni son conscientes de que esto tambi¨¦n les afecta, y solo toman consciencia cuando sufren un ataque: despu¨¦s de, por ejemplo, haber pagado una factura falsa, porque pensaban que pagaban a su proveedor, cuando en realidad no era as¨ª.

Los principales ataques a las pymes est¨¢n relacionados con el phishing o, lo que es lo mismo, una suplantaci¨®n de identidad, en este caso de otras empresas que obligan a hacer una transferencia a una cuenta que no es la habitual, y que pagan convencidos de que es leg¨ªtima. Hace falta una parte de concienciaci¨®n de los riesgos y otra parte de protecci¨®n. Estamos tambi¨¦n trabajando con el sector asegurador, para que asegure a las pymes en el ¨¢mbito de la ciberseguridad. De la misma manera que t¨² tienes que protegerte ante la posibilidad de que te rompan el cristal del escaparate y te roben las joyas que tienes, si hay nuevos peligros, tambi¨¦n debe haber nuevos mecanismos de protecci¨®n.

Luego, a nivel de los ciudadanos, tambi¨¦n tenemos que protegerlos. Y lo primero es llegar a la concienciaci¨®n. Y ah¨ª lo hicimos con el 017, que es el tel¨¦fono de la ciberseguridad de Espa?a, para hacer consultas como ciudadano, padre, educador o due?o de una pyme o de una gran empresa sobre cualquier riesgo y peligro alrededor de la ciberseguridad: desde ciberbullying a una posible adicci¨®n porque mi hijo lleva muchas horas jugando, el haber pagado una factura falsa o recibir un sms de mi banco dici¨¦ndome que ten¨ªa que volver a meter las credenciales, algo que le pasa a mucha gente mayor.

P. ?Qu¨¦ magnitud tienen hoy los ciberdelitos?

R. El cibercrimen es el primer crimen organizado a escala internacional, por delante del narcotr¨¢fico y de la trata de personas. No porque haya much¨ªsimos m¨¢s ataques de ciberseguridad que personas que trafican con la droga en el mundo, sino porque con much¨ªsimos menos ataques se consigue m¨¢s dinero. Con un solo ataque te encripto la informaci¨®n y te pido un mill¨®n?de euros de rescate. Y como cibercrimen organizado que es, se mueve en la deep web y en otros entornos; adem¨¢s de ser una herramienta de ciertos Gobiernos, que han auspiciado organizaciones criminales con objetivos de desestabilizaci¨®n pol¨ªtica y geopol¨ªtica.

Estamos ante un nuevo delito de escala internacional, y por eso el ransomware tiene un impacto tan importante: no porque una pyme lo tenga, pero s¨ª que lo tendr¨¢ un centro de investigaci¨®n, una gran compa?¨ªa o un oleoducto, y ese impacto econ¨®mico es alt¨ªsimo. Pero el impacto que m¨¢s me preocupa no es el econ¨®mico, sino que detr¨¢s de ese primer da?o directo hay otro m¨¢s profundo, que es el da?o en la confianza. Detr¨¢s de cada ataque de ciberseguridad hay un da?o a la confianza, a las instituciones, a la tecnolog¨ªa o al proceso de modernizaci¨®n y digitalizaci¨®n. Y esto tambi¨¦n lo tenemos que combatir, y por eso es muy importante aunar muchos esfuerzos en la parte de prevenci¨®n a escala internacional.

P. ?En qu¨¦ consiste exactamente un ataque de ransomware?

R. Es un ataque en dos fases. Primero hay un malware, algo que te infecta el sistema y que puede estar latente durante meses sin que t¨² te hayas enterado. A veces es un port¨¢til conectado a una red p¨²blica, o un correo que alguien de tus empleados abre sin saber que contiene un virus, y entonces ese virus se instala en tu sistema, rastreando un determinado tipo de informaci¨®n, de datos y ficheros que sabe que son de valor, o las credenciales de una persona para acceder a un sistema cr¨ªtico. En ese momento el malware instalado env¨ªa una se?al a su matriz. Y esa se?al es la que luego desencadena el env¨ªo del ransomware, que es como un segundo virus, que lo que hace es llegar a ese punto d¨¦bil que ha detectado el primer virus, coger esa informaci¨®n, encriptarla, bloquearla y exigir un rescate.

T¨² te enteras de que has tenido all¨ª un virus durante mucho tiempo cuando alguien te exige un rescate. ?Qu¨¦ hacemos nosotros con un sistema de alerta temprana? Pues que somos capaces de detectar el momento donde el primer virus est¨¢ a punto de avisar a la matriz para que env¨ªe el ransomware, y ah¨ª cortamos las comunicaciones. Cuando no lo detectas, ese ransomware llega a ese punto caliente, encripta toda la informaci¨®n y te pide un rescate, inutilizando esa informaci¨®n. Lo que tienes que hacer es buscar tus backups y restituir los sistemas de origen. Y, evidentemente, nunca pagar. Esta es la clave n¨²mero uno en cualquier rescate; y tambi¨¦n en el mundo digital. La otra posible consecuencia negativa es que a la vez que te est¨¢n pidiendo rescate, ya se haya filtrado parte de esta informaci¨®n en la web.

P. ?De qu¨¦ forma puede protegerse una persona individual?

R. Lo m¨¢s importante para la ciberseguridad es el sentido com¨²n; lo importante es tener contrase?as robustas, disponer de las actualizaciones de todos los parches de seguridad de tus aplicaciones de software, copias de seguridad, hacer caso de los consejos para navegar en l¨ªnea y en las redes sociales, no abrir correos sospechosos, saber detectar incluso palabras o construcciones que se intuya que puedan haber sido generadas autom¨¢ticamente por un robot de inteligencia artificial... Vigila las direcciones de correo desde las que te env¨ªan esos correos, los mensajes sms... Y sobre todo protege tus datos personales: no digas que s¨ª a todo lo que te piden para jugar a un juego, que no necesita acceder a tus fotos.

P. ?Por qu¨¦ ha habido ese crecimiento tan pronunciado de ataques de ransomware en 2021?

R. Porque es f¨¢cil en el fondo. Porque incluso hay en la dark web organizaciones que le venden paquetes de ransomware a otras organizaciones criminales. Al final, los ciberdelincuentes se han dado cuenta de que no estamos protegidos ni hemos invertido en ciberseguridad. El riesgo cero no existe, pero estamos muy lejos de llegar a unos niveles de protecci¨®n adecuados. Imag¨ªnate que tuvieras una joyer¨ªa y no dispusieras ni de alarma ni de reja: pues esto es lo que est¨¢ pasando en muchas peque?as y grandes empresas que no han invertido en ciberseguridad. Creo que ya somos lo suficientemente conscientes de estos problemas como para mantener seguros nuestros negocios, porque existen tambi¨¦n una industria de ciberseguridad muy potente que va por delante y se est¨¢ renovando cada d¨ªa.

P. ?Qu¨¦ papel juega la inteligencia artificial en el futuro de la ciberseguridad?

R. Hay todo un tema de usurpaci¨®n alrededor de los deep fakes, y la inteligencia artificial ayuda a detectar los riesgos de ciberseguridad. Piensa que, mientras el machine learning lo entrenas con patrones de muchos datos, la ciberseguridad no se entrena as¨ª, porque la ocurrencia de un ataque no es habitual. Por eso, el m¨¦todo que se utiliza es el de la detecci¨®n de anomal¨ªas; las t¨¦cnicas de ciberseguridad han sofisticado el nivel de ataque, pero tambi¨¦n permiten desarrollar herramientas de defensa mucho m¨¢s sofisticadas. Yo creo que la inteligencia artificial y la ciberseguridad van de la mano.

P. ?Ha jugado la pandemia un papel importante en el aumento de los ciberdelitos?

R. S¨ª, porque de la noche a la ma?ana se aceleraron seis a?os los procesos de transformaci¨®n digital de las empresas, del ¨¢mbito social, de la relaci¨®n de las personas, de la educaci¨®n... Al aumentar el ¨¢mbito de aplicaci¨®n de la digitalizaci¨®n, aument¨® el per¨ªmetro de riesgo. La necesidad inmediata de mantener una actividad social o econ¨®mica nos hizo lanzarnos a la digitalizaci¨®n, sin pensar que tambi¨¦n nos ten¨ªamos que lanzar a la ciberprotecci¨®n. Eso es muy acusado quiz¨¢ a nivel personal y de pymes, pero no tanto las grandes empresas, que ya se hab¨ªan dado cuenta los ¨²ltimos cinco a?os de que parte de sus presupuestos importantes los ten¨ªan que dedicar a la ciberseguridad. Y esta es la labor que estamos haciendo desde INCIBE.

P. ?Estamos ya suficientemente concienciados o queda mucho por hacer?

R. Queda mucho por hacer y es una de las prioridades que tenemos. Muchos de los ataques de ciberseguridad son consecuencia de un error humano: porque te han convencido para hacer clic en un correo en el que no ten¨ªas que haberlo hecho, o cuando has dado por bueno un sms que te ped¨ªa unos c¨®digos de tu tarjeta de cr¨¦dito o de tu cuenta corriente. A¨²n a nivel personal, hay mucho que hacer. Y luego, en las escuelas, hemos hecho un acuerdo con las Fuerzas y Cuerpos de Seguridad del Estado para hacer una formaci¨®n a todos los institutos en ciberseguridad, porque nuestros hijos utilizan much¨ªsimo las redes sociales, donde se relacionan habitualmente, y eso es una gran fuente de entrada de virus, de ataques o de accesos il¨ªcitos a esa informaci¨®n. Pensamos que los j¨®venes, por hecho de haber nacido en la generaci¨®n digital, son conscientes de los riesgos, y no lo son. Ni de sus riesgos, ni de su exposici¨®n o de sus fotos personales, algo que tambi¨¦n se tiene que ayudar a prevenir, porque da lugar a ataques de ciberacoso. Hay toda una serie de normas y protocolos. Tenemos un programa que se llama Internet Segura for Kids desde hace muchos a?os.

P. ?Los mayores son especialmente susceptibles a este tipo de delitos?

R. Nosotros tenemos un Plan Nacional de Competencias Digitales que vamos a empezar a desplegar a final de a?o, donde una parte muy importante es la formaci¨®n en ciberseguridad y tambi¨¦n la protecci¨®n de los mayores. Una persona mayor no entra en una red social, pero puede recibir un SMS en el m¨®vil y pensar que es de su banco o su centro de salud, y dar datos personales. Y luego est¨¢ la formaci¨®n de profesionales. En Espa?a faltan 83.000 profesionales antes de 2024 para cubrir las demandas que est¨¢n gener¨¢ndose, justamente porque cada vez m¨¢s empresas de todos tama?os est¨¢n yendose al mundo digital.

FORMACI?N EL PA?S en Twitter y Facebook

Suscr¨ªbase a la newsletter de Formaci¨®n de EL PA?S