Los robos de datos a empresas revelan una industrialización de la ciberdelincuencia

Son muchas las empresas que estas últimas semanas han sufrido el robo masivo de datos de sus usuarios. Y todas ellas han restado importancia a sus ciberataques, afirmando que los jáqueres solo han obtenido información personal sin relación con los medios de pago. Pero los elevados precios que se pagan en la dark web por esos datos, a veces incluso millones de euros, reflejan una realidad muy diferente: son oro puro para llevar a cabo todo tipo de estafas, chantajes e incluso campañas de desinformación política.

Es un problema en rápido auge. «En el 2012, la ciberdelincuencia representaba solo el 4% de todas las denuncias; ahora es el 23 %. Y el número real es muy superior, porque muchas víctimas ni siquiera denuncian», comenta el abogado especializado en ciberseguridad Borja Adsuara. Francisco Valencia, director general de la firma Secure&IT, coincide: «Según datos de las Fuerzas y Cuerpos de Seguridad del Estado, si comparamos enero y febrero del 2024 con los dos primeros meses del año pasado, la cibercriminalidad crece un 13,5 %».

Ciberdelito industrializado

Y a nivel global su fuerza asombra: «Si la ciberdelincuencia fuese un país, sería la tercera potencia mundial medida por el dinero que mueve, solo por detrás de Estados Unidos y China», afirma. En muchos casos, es más jugosa que el narcotráfico o la venta de armas, porque tiene muchas menos consecuencias.

Todos los expertos consultados coinciden en resaltar un cambio que se ha producido desde la pandemia: la ciberdelincuencia se ha industrializado para explotar a fondo este goloso negocio caracterizado por la transnacionalidad y la transversalidad. «Los delincuentes se estructuran en diferentes niveles que colaboran sin conocerse», explica Diego Alejandro, jefe de la Sección de Seguridad Lógica de la Policía Nacional. «Unos se dedican a desarrollar el malware necesario para llevar a cabo la intrusión. Lo venden en la 'dark web' a quienes realizan el ataque para cifrar y exfiltrar los datos. Luego, a su vez, esos pueden vender los datos, ordenados o no, a los especialistas en suplantar identidades o estafar», ahonda Alejandro. «Salvo que se dediquen al activismo político, que también crece, estas organizaciones conforman una industria sin bandera y funcionan como cualquier empresa, con departamentos de Recursos Humanos, Facturación y Servicio al Cliente», añade Javier Diéguez, director general de Cyberzaintza, la Agencia Vasca de Ciberseguridad. Esta nueva estructura profesionalizada, que sustituye al clásico jáquer que se encargaba de todo el proceso, facilita un perfilado cada vez más detallado de las víctimas. Porque el verdadero valor de los datos robados está en la posibilidad de combinar diferentes bases para tener un conocimiento completo y lanzar así ataques más personalizados y eficientes.

Ingeniería social

«Las campañas más peligrosas son las estacionales. O sea, las que se producen en momentos como el Black Friday o la declaración de la renta, porque aumenta el número de personas que operan en internet», analiza Diéguez. Los estafadores crean páginas web muy similares a las de administraciones o empresas y, con tácticas de phishing, logran extraer los datos críticos de tarjetas de crédito o cuentas bancarias para hacerse con el dinero. Pero los riesgos van mucho más allá. Sobre todo cuando entra en juego lo que se denomina ingeniería social. «A través de la interacción con la víctima, sobre todo mediante redes sociales, los criminales logran los datos que les faltan para atacarla. Los delincuentes son cada vez más pacientes. Por ejemplo, para poner en marcha una 'estafa del amor' exitosa pueden tener que dedicar meses», señala Alejandro. Y de lo que publicamos en redes también se pueden extraer detalles jugosos.

Los datos pueden ser la materia prima para todo tipo de campañas. «Si consiguen información médica, pueden chantajear a quienes sufren alguna enfermedad de transmisión sexual, amenazándoles con enviar esos datos a todos sus contactos si no pagan. Y también pueden estafar a quienes tienen algún mal incurable con falsos tratamientos milagrosos», pone como ejemplo Valencia. «Y con según qué datos, aparentemente inocuos, incluso pueden determinar qué casas están vacías y vender esa información a redes de ocupación. Si eres padre o madre, además, puede resultar interesante chantajearte con fotos sexuales manipuladas de tus hijos», añade. «Los ciberdelincuentes cada vez son más creativos y sofisticados. Y la inteligencia artificial les ayuda con muchas tareas que antes requerían mucho tiempo y esfuerzo, y reduce también los fallos ortográficos y semánticos que antes hacían sospechar», coincide Diéguez.

Pero, ¿cómo es posible que tanta gente caiga en timos que, a posteriori, parecen evidentes? Alejandro da cuatro pistas relacionadas con la propia idiosincrasia del ser humano: «Tenemos una tendencia natural a confiar, nos cuesta decir que no, sobre todo si es por teléfono, solemos empatizar con quien está al otro lado y, sobre todo, nos encanta que nos alaben». A eso se suma una baja alfabetización digital, sobre todo entre la población de edad más avanzada. «Tenemos que introducir esta asignatura en los colegios, como la educación sexual o la vial. Para nosotros es una prioridad empezar a una edad temprana y trabajar con los mayores», afirma Diéguez.

Pero, como apunta Adsuara, «el verdadero negocio no está en dejar a cero la cuenta corriente de mindundis, sino en el ransomware que afecta a las empresas». Es ese software que cifra todos los datos e impide a la compañía operar hasta que pague un rescate. «Sobre todo van a por las pymes, que tienen menos medidas de seguridad. No en vano, a las grandes están llegando a través de sus proveedores. Y la gente paga, aunque a veces eso no supone el fin del secuestro», comenta el abogado.

Por esta razón, los ciberdelincuentes ponen su mira sobre todo en aquellos empleados de los departamentos técnicos que pueden tener credenciales interesantes para acceder a las tripas informáticas. «El problema es que algunas empresas invierten mucho en ciberseguridad pero luego permiten a los empleados conectarse al sistema en remoto desde sus móviles personales, dejando abierta una puerta a los delincuentes. Es más fácil ir a por ellos que a por los servidores, y, al final, el 'hacker' lo que quiere es que su hora de trabajo salga lo más rentable posible», elabora Adsuara.

Prevenir mejor que lamentar

Por eso, Alejandro no tiene duda de que se debe enfatizar la prevención: «Hay que concienciar a la sociedad de que la seguridad empieza por uno mismo. Y las empresas deben entender que la primera línea de defensa son sus propios empleados». Para las compañías tiene un consejo: «Deben actuar como si ya estuviesen infectadas, porque solo hay dos tipos de empresas: las que han sido atacadas y las que aún no lo saben».

Afortunadamente, aunque Diéguez asegura que las últimas semanas están siendo «terribles», también está convencido de que estos ataques contra grandes empresas están logrando que «cada vez haya más conciencia sobre el peligro». Valencia concuerda, y señala que «no cuesta más instalar sistemas seguros». Prevenir es mejor que curar, sobre todo porque resulta especialmente difícil dar caza a los malhechores y lograr que rindan cuentas. «Los delincuentes siempre van por delante», reconoce Alejandro.

Uno de los principales problemas para investigar los ciberdelitos es que, además de utilizar todo tipo de herramientas para camuflar sus pasos, quienes los cometen a menudo lo hacen desde países como China o Rusia, que también lanzan campañas para manipular la opinión pública, interferir en procesos democráticos, e inyectar inestabilidad con la creación de bulos y su diseminación a través de redes sociales atestadas de bots. Ninguno de ellos es signatario del Convenio de Budapest —al que cada vez se adhieren más países—, y rara vez cooperan con fuerzas de otros lugares. «Con China al menos se habla, y se pueden hacer algunas peticiones, pero con Rusia ni siquiera llegamos a ese punto», señala Alejandro. Y, por si no fuese suficiente, «a veces descubrimos que los delincuentes son menores de edad que se están poniendo a prueba».

A pesar de todo, los expertos señalan que la ciberdelincuencia crece menos que la actividad en Internet, muestra de que la seguridad también se fortalece. «Iremos transitando del uso de contraseñas a sistemas biométricos», avanza Valencia. «Cada vez es más habitual hacer copias de todos los datos y guardarlas en lugares seguros para evitar el colapso de la empresa», añade Alejandro. «Y la gente cada vez es más cuidadosa, aunque solo sea por miedo. El 90 % de los ciberdelitos son estafas», comenta Adsuara. Eso sí, señala que en el horizonte hay una amenaza cada vez más clara: «Cuando llegue la computación cuántica, todo cambiará. Porque ninguna contraseña será segura».

La protección que ofrecen los idiomas más minoritarios

Cuanto menos extendido está un idioma, menos ataques cibernéticos sufren quienes se desenvuelven en él. Por ejemplo, los hispanoparlantes están más protegidos ante las estafas que los angloparlantes, ya que el inglés es el idioma más utilizado en internet. En nuestro país, quienes bucean por la red en euskera, catalán o gallego están mucho menos expuestos a estafas. «Es fácil de entender por qué: el delincuente quiere que su campaña llegue al mayor número de gente posible para maximizar la rentabilidad. En euskera, por ejemplo, nunca he recibido un intento, porque la IA aún no está suficientemente entrenada. Y si llegase, es muy posible que fuese fácil de detectar», explica Javier Diéguez, director general de Cyberzaintza.

Decálogo para protegerse en internet

Cada vez es más difícil protegerse de los ciberdelincuentes, porque sus estrategias son cada vez más sofisticadas, pero los expertos señalan que estos pasos, aunque resulten básicos, pueden ser muy eficaces para evitar sufrir un 'hackeo'.

1. Cambia de contraseña. No uses la misma para todo, porque si la roban de un sitio, la probarán en el resto. Existen organizadores de contraseñas y generadores de otras de un solo uso que pueden ayudar

2. Autentificación de dos pasos. Actívala si se ofrece. Así te llegará un SMS o un correo para verificar el inicio de sesión o transacciones comerciales. Si recibes uno de una operación que no has hecho tú sabrás que intentan atacarte y podrás frustrarlo.

3. Duda de mensajes genéricos. Siempre que recibas un mensaje que no va dirigido a ti, uno de esos que empiezan con un «estimado usuario», ponte en alerta.

4. Ojo con los enlaces. Si recibes un enlace en un mensaje, antes de abrirlo asegúrate de que no es malicioso. Confirma que el dominio sea el correcto (por ejemplo, que sea amazon.com y no amazn.com) porque a veces la clave está en esos detalles.

5. Datos personales, los justos. Si alguna entidad con la que tienes relación te pide datos personales que consideras innecesarios, sospecha y certifica por una vía alternativa (teléfono, por ejemplo) que el mensaje es lícito.

6. Chollos que son estafas. Desconfía de las ofertas en redes sociales que parezcan demasiado buenas para ser verdad. Seguramente no lo sean.

7. Verifica las tiendas. Antes de comprar en plataformas o páginas web desconocidas, busca en internet si son fiables. En caso de que no lo sean, aparecerán comentarios que alertan de ellas.

8. Wifi de confianza. Evita redes wifi públicas para navegar y, si no hay alternativa, no realices operaciones que requieran introducir claves o contraseñas en ellas.

9. No cuentes toda tu vida. Aunque parezca inocuo, evita publicar datos personales como ubicaciones o planes (y jamás fotos de documentos) en redes sociales. Ni propios ni de otros.

---

---

---