Decía Aristófanes que la desconfianza es la madre de la seguridad. Este principio, arquetípico y universal, sigue hoy más vigente que antaño debido a las múltiples y etéreas formas en las que se nos presentan los peligros que comprometen nuestra seguridad. Estamos en el mundo digital, un mundo que nunca pudo imaginar el comediógrafo griego.
Lo digital no puede entenderse de ninguna manera sin internet, el mundo laboral tampoco se concibe hoy día sin las comunicaciones por internet, la Red de Redes.
Las personas, empresas, corporaciones, instituciones públicas, etc. tienen una dependencia extraordinaria de internet y, por ende, de cualquier tipo de comunicación informática a distancia, redes privadas incluidas.
Las nuevas e ilimitadas posibilidades que ha brindado la tecnología a nuestras vidas también implican riesgos antes inexistentes.
Los delitos informáticos crecen exponencialmente año tras año. Algunas estimaciones indican que los delitos en la web suponen pérdidas de un billón de euros a nivel mundial, mientras que el gasto en seguridad digital es de 70.000 millones.
Según la memoria de la Fiscalía General del Estado, en 2015 se incoaron 22.575 procedimientos judiciales sobre delitos informáticos. El 80,6% de estos procedimientos (18.201) tiene que ver con estafas cometidas a través de las tecnologías de la información.
Curiosamente, se considera que el 90% de las estafas por internet se evitarían si la gente aplicase un poco el sentido común, luego nos es imprescindible cultivar ese sentido en el universo de las TIC (tecnologías de la información y la comunicación).
Estas cifras nos muestran una visión panorámica del problema y nos inducen a intuir una cuestión elemental para prevenirlo: la inversión. En equipamientos (equipos y programas) y en formación, tanto de personal especializado como de trabajadores ajenos a departamentos informáticos, pero que interaccionan diariamente con tecnologías de la información y la comunicación.
Según un informe de la Universidad Internacional de Valencia (Ciberseguridad. Tendencias: 2017), el año 2016 ha significado un incremento extraordinario de cinco tipos de ataques informáticos:
- Ataques de denegación de servicio distribuidos. Estos ataques tienen por objetivo evitar el acceso normal a servicios web, mediante técnicas que saturan la capacidad de proceso del servidor de la página web, dejándola colgada al hacerle más peticiones de las que puede atender.
- Ataques de secuestro de ficheros en discos duros y dispositivos móviles. Se pide un rescate por recuperarlos: crecieron un 800% en 2016. Normalmente se infecta el ordenador mediante un correo electrónico contaminado con un programa malicioso o malware.
- Fraude del CEO (Director ejecutivo), en el que se suplanta su identidad en correos electrónicos para engañar a alguna persona de la empresa para que haga una transferencia a una cuenta del atacante con engaños de ingeniería social. Ha provocado estafas o robos de 600.000 euros por término medio en los ataques publicados, que son solo del orden del 15% de los que se producen. En 2015 provocaron pérdidas de 2 o 3 miles de millones de dólares en todo el mundo.
- Las webs desde las que se hace phishing crecieron un 25% durante 2016, con puntas de crecimiento del 100% en primavera. Un 30% de los usuarios abren los mensajes de phishing y un 12% hacen clic en enlaces sin pensar.
El phishing es una estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta. El delincuente suplanta la identidad de una persona o empresa de confianza para que el receptor de una comunicación electrónica aparentemente oficial (vía correo electrónico, fax, SMS o telefónicamente) crea en su veracidad y facilite, de este modo, los datos privados que resultan de interés para el estafador.
- El robo de datos personales (denunciados) ha batido cifras récord. Un total de 1,4 mil millones de registros digitales fueron expuestos, sin autorización, en internet durante el 2016. Esto significa que las filtraciones y robos de datos aumentaron en un 86 % con respecto al 2015, según el informe Breach Level Index de la compañía de seguridad digital Gemalto. Casos representativos fueron:
– La red social de citas Adult Friend Finder presentó el mayor caso de robo de información después de que su base de datos fuera víctima de un ataque malicioso que expuso más de 400 millones de registros.
– El acceso a 85 millones de registros a DailyMotion, la plataforma de videos on-line. En este ataque se vieron comprometidos datos como nombres de usuario, correos electrónicos y contraseñas.
– En España, en febrero de 2016, Anonymous filtró listados de patrocinios, colaboraciones, donaciones y pagos de diversa índole efectuados por El Corte Inglés a entidades públicas y privadas.
– Gran cantidad de datos personales de miembros de cuerpos policiales también fueron publicados (5.540 de efectivos de la policía autonómica catalana y, dos semanas después, 5.446 de la Policía Nacional).
Estos ataques tienen impactos devastadores para las empresas, a nivel económico y a efectos de imagen, socavan su prestigio, de ahí que existan multitud de casos sin denunciar, por lo tanto, las cifras reales, son bastante mayores.
A pesar del desolador panorama que se acaba de trazar, Escarlata González, Directora de Proyectos de Centrologic, firma especializada en seguridad informática, declara lo siguiente: “La ciberseguridad es una falsa burbuja. Se habla mucho de ella pero apenas se contrata. Las empresas y las instituciones nos utilizan como un botón del pánico que pulsan cuando a veces es demasiado tarde”.
Es evidente que queda mucho camino por recorrer en el mundo empresarial a la hora de invertir en establecer auténticas políticas e infraestructuras que nos prevengan de ataques informáticos y nos configuren protocolos eficaces de actuación en caso de producirse.
La prevención y la anticipación son las mejores armas contra la ciberdelincuencia y las ingentes pérdidas que provoca. Para ello necesitamos medios y formación y, aunque existe la certeza de que el riesgo cero no existe, siempre debemos desconfiar para alcanzar la seguridad.
Gustavo Romero Sánchez.
Gestor de Redes y Recursos Informáticos en el sector de la Seguridad.
Criminólogo y Antropólogo Forense
Tutor Tecnológico en Curso Superior de Ciberseguridad
