La actualidad de las últimas semanas ha revelado un elemento común entre Banco Sabadell, Ticketmaster, la DGT, Telefónica e Iberdrola: todas estas empresas han sufrido el robo masivo de datos de sus usuarios. Y todas ellas han restado importancia a sus ciberataques, afirmando que los 'hackers' solo han obtenido información personal sin relación con los medios de pago. Pero los elevados precios que se pagan en la 'dark web' por esos datos, a veces incluso millones de euros, reflejan una realidad muy diferente: son oro puro para llevar a cabo todo tipo de estafas, chantajes e incluso campañas de desinformación política.

Es un problema en rápido auge. "En 2012, la ciberdelincuencia representaba solo el 4% de todas las denuncias; ahora es el 23%. Y el número real es muy superior, porque muchas víctimas ni siquiera denuncian", comenta el abogado especializado en ciberseguridad Borja Adsuara. Francisco Valencia, director general de la firma Secure&IT, coincide: "Según datos de las Fuerzas y Cuerpos de Seguridad del Estado, si comparamos enero y febrero de 2024 con los dos primeros meses del año pasado, la cibercriminalidad crece un 13,5%".

CIBERDELITO INDUSTRIALIZADO

Y a nivel global su fuerza asombra: "Si la ciberdelincuencia fuese un país, sería la tercera potencia mundial medida por el dinero que mueve, solo por detrás de Estados Unidos y China", afirma. En muchos casos, es más jugosa que el narcotráfico o la venta de armas, porque tiene muchas menos consecuencias.

Todos los expertos consultados coinciden en resaltar un cambio que se ha producido desde la pandemia: la ciberdelincuencia se ha industrializado para explotar a fondo este goloso negocio caracterizado por la transnacionalidad y la transversalidad. "Los delincuentes se estructuran en diferentes niveles que colaboran sin conocerse", explica Diego Alejandro, jefe de la Sección de Seguridad Lógica de la Policía Nacional. "Unos se dedican a desarrollar el 'malware' necesario para llevar a cabo la intrusión. Lo venden en la 'dark web' a quienes realizan el ataque para cifrar y exfiltrar los datos. Luego, a su vez, esos pueden vender los datos, ordenados o no, a los especialistas en suplantar identidades o estafar", ahonda Alejandro. "Salvo que se dediquen al activismo político, que también crece, estas organizaciones conforman una industria sin bandera y funcionan como cualquier empresa, con departamentos de Recursos Humanos, Facturación y Servicio al Cliente", añade Javier Diéguez, director general de Cyberzaintza, la Agencia Vasca de Ciberseguridad. Esta nueva estructura profesionalizada, que sustituye al clásico 'hacker' que se encargaba de todo el proceso, facilita un perfilado cada vez más detallado de las víctimas. Porque el verdadero valor de los datos robados está en la posibilidad de combinar diferentes bases para tener un conocimiento completo y lanzar así ataques más personalizados y eficientes.

INGENIERÍA SOCIAL

"Las campañas más peligrosas son las estacionales. O sea, las que se producen en momentos como el Black Friday o la declaración de la renta, porque aumenta el número de personas que operan en internet", analiza Diéguez. Los estafadores crean páginas web muy similares a las de administraciones o empresas y, con tácticas de 'phishing', logran extraer los datos críticos de tarjetas de crédito o cuentas bancarias para hacerse con el dinero. Pero los riesgos van mucho más allá. Sobre todo cuando entra en juego lo que se denomina ingeniería social. "A través de la interacción con la víctima, sobre todo mediante redes sociales, los criminales logran los datos que les faltan para atacarla. Los delincuentes son cada vez más pacientes. Por ejemplo, para poner en marcha una 'estafa del amor' exitosa pueden tener que dedicar meses", señala Alejandro. Y de lo que publicamos en redes también se pueden extraer detalles jugosos.

Y los datos pueden ser la materia prima para todo tipo de campañas. "Si consiguen información médica, pueden chantajear a quienes sufren alguna enfermedad de transmisión sexual, amenazándoles con enviar esos datos a todos sus contactos si no pagan. Y también pueden estafar a quienes tienen algún mal incurable con falsos tratamientos milagrosos", pone como ejemplo Valencia. "Y con según qué datos, aparentemente inocuos, incluso pueden determinar qué casas están vacías y vender esa información a redes de ocupación. Si eres padre o madre, además, puede resultar interesante chantajearte con fotos sexuales manipuladas de tus hijos", añade. "Los ciberdelincuentes cada vez son más creativos y sofisticados. Y la inteligencia artificial les ayuda con muchas tareas que antes requerían mucho tiempo y esfuerzo, y reduce también los fallos ortográficos y semánticos que antes hacían sospechar", coincide Diéguez.

Pero, ¿cómo es posible que tanta gente caiga en timos que, a posteriori, parecen evidentes? Alejandro da cuatro pistas relacionadas con la propia idiosincrasia del ser humano: "Tenemos una tendencia natural a confiar, nos cuesta decir que no, sobre todo si es por teléfono, solemos empatizar con quien está al otro lado y, sobre todo, nos encanta que nos alaben". A eso se suma una baja alfabetización digital, sobre todo entre la población de edad más avanzada. "Tenemos que introducir esta asignatura en los colegios, como la educación sexual o la vial. Para nosotros es una prioridad empezar a una edad temprana y trabajar con los mayores", afirma Diéguez.

Pero, como apunta Adsuara, "el verdadero negocio no está en dejar a cero la cuenta corriente de mindundis, sino en el 'ransomware' que afecta a las empresas". Es ese 'software' que cifra todos los datos e impide a la compañía operar hasta que pague un rescate. "Sobre todo van a por las pymes, que tienen menos medidas de seguridad. No en vano, a las grandes están llegando a través de sus proveedores. Y la gente paga, aunque a veces eso no supone el fin del secuestro", comenta el abogado.

Por esta razón, los ciberdelincuentes ponen su mira sobre todo en aquellos empleados de los departamentos técnicos que pueden tener credenciales interesantes para acceder a las tripas informáticas. "El problema es que algunas empresas invierten mucho en ciberseguridad pero luego permiten a los empleados conectarse al sistema en remoto desde sus móviles personales, dejando abierta una puerta a los delincuentes. Es más fácil ir a por ellos que a por los servidores, y, al final, el 'hacker' lo que quiere es que su hora de trabajo salga lo más rentable posible", elabora Adsuara.

PREVENIR MEJOR QUE LAMENTAR

Por eso, Alejandro no tiene duda de que se debe enfatizar la prevención: "Hay que concienciar a la sociedad de que la seguridad empieza por uno mismo. Y las empresas deben entender que la primera línea de defensa son sus propios empleados". Para las compañías tiene un consejo: "Deben actuar como si ya estuviesen infectadas, porque solo hay dos tipos de empresas: las que han sido atacadas y las que aún no lo saben".

Afortunadamente, aunque Diéguez asegura que las últimas semanas están siendo "terribles", también está convencido de que estos ataques contra grandes empresas están logrando que "cada vez haya más conciencia sobre el peligro". Valencia concuerda, y señala que "no cuesta más instalar sistemas seguros". Prevenir es mejor que curar, sobre todo porque resulta especialmente difícil dar caza a los malhechores y lograr que rindan cuentas. "Los delincuentes siempre van por delante", reconoce Alejandro.

Uno de los principales problemas para investigar los ciberdelitos es que, además de utilizar todo tipo de herramientas para camuflar sus pasos, quienes los cometen a menudo lo hacen desde países como China o Rusia, que también lanzan campañas para manipular la opinión pública, interferir en procesos democráticos, e inyectar inestabilidad con la creación de bulos y su diseminación a través de redes sociales atestadas de 'bots'. Ninguno de ellos es signatario del Convenio de Budapest -al que cada vez se adhieren más países-, y rara vez cooperan con fuerzas de otros lugares. "Con China al menos se habla, y se pueden hacer algunas peticiones, pero con Rusia ni siquiera llegamos a ese punto", señala Alejandro. Y, por si no fuese suficiente, "a veces descubrimos que los delincuentes son menores de edad que se están poniendo a prueba".

A pesar de todo, los expertos señalan que la ciberdelincuencia crece menos que la actividad en Internet, muestra de que la seguridad también se fortalece. "Iremos transitando del uso de contraseñas a sistemas biométricos", avanza Valencia. "Cada vez es más habitual hacer copias de todos los datos y guardarlas en lugares seguros para evitar el colapso de la empresa", añade Alejandro. "Y la gente cada vez es más cuidadosa, aunque solo sea por miedo. El 90% de los ciberdelitos son estafas", comenta Adsuara. Eso sí, señala que en el horizonte hay una amenaza cada vez más clara: "Cuando llegue la computación cuántica, todo cambiará. Porque ninguna contraseña será segura".