El cibercrimen alcanza niveles in¨¦ditos: 90 millones de ataques anuales que cuestan 10,5 billones de euros

Cada ordenador, m¨®vil, r¨²ter, veh¨ªculo o electrodom¨¦stico conectado es un cofre del tesoro. ¡°Todos tenemos algo que le interesa a un ciberdelincuente¡±, afirma Luis Hidalgo, del Instituto Nacional de Ciberseguridad (Incibe). Esta mina individual, empresarial e institucional de dimensiones gigantescas es el objetivo del pirateo inform¨¢tico, que han alcanzado niveles in¨¦ditos no solo por cantidad, sino tambi¨¦n por sofisticaci¨®n. ¡°Cada d¨ªa se registran 90 millones de ciberataques en el mundo [m¨¢s de un millar por segundo] que suponen un coste de 10,5 billones de euros (trillones en el sistema contable de EEUU). Si el cibercrimen fuera un pa¨ªs, ser¨ªa la tercera econom¨ªa mundial solo por detr¨¢s de EE UU y China¡±, advierte Mar¨ªa Jes¨²s Almanzor, consejera delegada de Ciberseguridad y Nube en Telef¨®nica Tech, durante el CSI Radar, un encuentro internacional organizado por Medina Media Events en Sevilla.

La rentabilidad del cibercrimen ha generado organizaciones cada vez m¨¢s especializadas y eficaces. ¡°Uno de cada cinco delitos son a trav¨¦s de la red¡±, advierte Juan Salom Clotet, coronel jefe de la Unidad de Coordinaci¨®n de Ciberseguridad de la Guardia Civil, quien prev¨¦ que crezcan hasta alcanzar en dos a?os las 150.000 denuncias, el 25% de todos los delitos anuales. ¡°El 84% de las estafas son por internet¡±, resalta.

Y ¡°cada d¨ªa los malos son m¨¢s r¨¢pidos¡±, asegura Almanzor. Lo corrobora Isabel Trist¨¢n, directiva de Seguridad de IBM:. ¡°Los cibercriminales han evolucionado y son capaces de desplegar ataques de ransomware [secuestro] en menos de tres d¨ªas, mientras que el tiempo medio de las empresas para detectarlo es de siete meses y de dos meses para reaccionar¡±. La directiva de IBM conf¨ªa en que la inteligencia artificial se sume a las defensas y permita reducir a menos de 30 minutos el tiempo de investigaci¨®n medio, que ahora es de dos d¨ªas.

Adem¨¢s de ¨¢giles, los ciberataques son cada vez m¨¢s innovadores: aumentan los vectores y las estrategias, especialmente las orientadas al error humano. Caixabank ha alertado recientemente de un SMS falso que se incorpora al historial de mensajes del banco como si fuera suyo y que culmina con la llamada de un supuesto gestor de la entidad.

Cualquier persona, en todos los niveles, es diana de los ataques. Sergio de los Santos, director del ¨¢rea de Innovaci¨®n y Laboratorio de Telef¨®nica Tech, recuerda casos como el del enlace enviado a un directivo de Uber, quien no pinch¨® en un enlace malicioso y recibi¨® una llamada de alguien que se hizo pasar por responsable de seguridad para reclamarle que lo hiciera porque era necesario. La hoy presidenta del Banco Central Europeo, Christine Lagarde, recibi¨® un SMS de la excanciller alemana Angela Merkel, a la que llam¨® para confirmar que era suyo y descubri¨® que era una puerta falsa. ¡°Probablemente, para instalar un programa esp¨ªa¡±, comenta, en alusi¨®n a ataques como los generados por el conocido Pegasus, que ha infectado m¨®viles de Gobiernos, pol¨ªticos, periodistas y empresarios internacionales.

¡°Hay que ser capaz de seguirlos. Es importante que los buenos seamos igual de r¨¢pidos e innovadores¡±, advierte Almanzor, quien calcula un coste medio por empresa afectada por un programa malicioso en 105.000 euros. Ese juego del gato y el rat¨®n lo define Salom Clotet como ¡°espiral de acci¨®n reacci¨®n¡±.

Pero la tarea no es f¨¢cil. Adem¨¢s de que los ataques se intensifican y se hacen m¨¢s sofisticados, la directiva de Telef¨®nica advierte de que no hay un ¡°per¨ªmetro fijo¡±. ¡°No sabemos d¨®nde est¨¢ la frontera. No son tangibles f¨ªsicos sino digitales y van creciendo. Lo que tenemos no nos vale¡±, afirma en relaci¨®n con la ineficacia de las soluciones individuales. Hidalgo lo corrobora: ¡°Hemos avanzado much¨ªsimo, pero no es suficiente.

Tambi¨¦n coincide Trist¨¢n, quien alerta de que ¡°la ciberseguridad tradicional¡±, centrada en la disposici¨®n individual de tecnolog¨ªas y sistemas, ha quedado obsoleta¡±. En este sentido, Jos¨¦ Capote, responsable de Huawei en este ¨¢mbito, reconoce que, en la era del 5G, ¡°las fronteras de la red est¨¢n difuminadas y resultan m¨¢s complejas de defender¡±.

Confianza cero no es un producto, es un enfoque. No confiar ni en el que est¨¢ dentro

Mar¨ªa Jes¨²s Almanzor, consejera delegada de Ciberseguridad y Nube en Telef¨®nica Tech

Almanzor aboga por la ¡°confianza cero¡±. ¡°No es un producto, es un enfoque. No confiar ni en el que est¨¢ dentro¡±, asegura. Y lo afirma porque, como resalta Pedro ?lamo, de la empresa de seguridad Proofpoint, ¡°el 97% de las brechas de ataque son a trav¨¦s del correo electr¨®nico y, sin embargo, solo se dedica el 10% del presupuesto a protegerlo¡±.

De esta forma, cada individuo es una puerta al cibercrimen. Seg¨²n ?lamo, ¡°el 60% de los incidentes se debe a un acceso err¨®neo de alg¨²n empleado¡±. Tambi¨¦n coincide De los Santos, quien destaca que, de los 10 vectores de ataque m¨¢s habituales, la gran mayor¨ªa depende del usuario.

Por eso defiende como medida fundamental la implicaci¨®n de cada individuo en las amenazas, que afectar¨¢n a todos, tarde o temprano. Como afirma Almanzor, ¡°solo hay dos tipos de empresas: las que han sufrido un ataque y las que no lo saben¡±. En este sentido, Jos¨¦ Gir¨®n, inspector de la Polic¨ªa Cient¨ªfica de Sevilla, se?ala ¡°la soberbia¡± como una de las mayores dificultades de la prevenci¨®n: ¡°Quien crea que lo controla todo, no lo hace. Todo es tan cambiante que en minutos ya no sirve algo que est¨¢ vigente en un momento determinado¡±.

Quien crea que lo controla todo, no lo hace. Todo es tan cambiante que en minutos ya no sirve algo que est¨¢ vigente en un momento determinado

Jos¨¦ Gir¨®n, inspector de la Polic¨ªa Cient¨ªfica de Sevilla

Pero para De los Santos, ¡°la concienciaci¨®n sin formaci¨®n es solo miedo¡±, por lo que apuesta por la educaci¨®n de todas las partes, en todas las esferas. ¡°El usuario necesita entender¡±, advierte. En este sentido, Hidalgo identifica un patr¨®n com¨²n conocido como ¡°clicador feliz¡± (happy clicker) y que se refiere al usuario que pincha de forma compulsiva en cada enlace que le llega. ¡°Estos est¨¢n, y mucho, en las capas altas de una organizaci¨®n¡±, advierte.

Coincide Almanzor en la falta de conocimiento en todos los niveles al destacar que ¡°el 90% de las empresas en general no sabe su estado actual de seguridad¡±. ¡°No tienen un plan de recuperaci¨®n y actuaci¨®n ante un ataque que va a pasar. No est¨¢n preparadas¡±, advierte.

El escenario es muy parecido en todos los sectores, aunque el mayor tama?o y riesgo potencial de un ataque de denegaci¨®n de servicios en entidades de abastecimiento de agua, sanidad o energ¨¦ticas, por ejemplo, hace que el porcentaje de desprotecci¨®n se reduzca, aunque no se elimine. Juan Miguel Pulpillo, coordinador del Centro de Ciberseguridad Industrial (CCI), explica que, en este sector, ¡°aunque se hace cierta evaluaci¨®n del riesgo y del incidente, entre el 40% y el 60% de las empresas no han definido medidas de seguridad¡±.

Almanzor apuesta por la resiliencia cibern¨¦tica, que implica verificaciones permanentes, anticipar, prevenir, resistir y recuperar. Y por la colaboraci¨®n, as¨ª como por la incorporaci¨®n de socios tecnol¨®gicos especializados.

Pero esto no ser¨¢ suficiente porque la actividad delictiva continuar¨¢ y crecer¨¢, como advierte Salom Clotet. El pasado a?o, solo en Espa?a, se registraron 118.000 incidentes de ciberseguridad. Por lo tanto, queda un frente m¨¢s que reside en la persecuci¨®n de estos delitos. Gabriel Gonz¨¢lez, fiscal delegado de Criminalidad Inform¨¢tica, resalta que ¡°las innovaciones tecnol¨®gicas hacen que determinados delitos se recojan en el C¨®digo Penal a posteriori de la ocurrencia del hecho delictivo¡±. La legislaci¨®n va por detr¨¢s de la realidad.

El coronel jefe de la Unidad de Coordinaci¨®n de Ciberseguridad de la Guardia Civil se?ala que incluso los delitos que ya est¨¢n recogidos se castigan con penas que no superan los dos a?os de prisi¨®n en su mayor¨ªa, salvo los de pederastia, que pueden suponer hasta cuatro a?os. Salom sugiere que se analice si las penas son proporcionales a los recursos que consumen y el da?o que causan los delitos en la red.

Puedes escribir a rlimon@elpais.es y seguir a EL PA?S Tecnolog¨ªa en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.