Ciberataques: una creciente y costosa amenaza

Todas las semanas sale alguna noticia de ciberataques en el mundo. La penúltima, una red que ha robado cajeros de forma remota en Europa. Y en octubre, dos ciberataques masivos en EEUU afectaron a 1.000 millones de internautas. Se calcula que los ciberataques ya afectan a 1 de cada 3 internautas del mundo, causando pérdidas superiores a 300.000 millones de euros anuales. España es el tercer país con más ciberataques, tras USA y Reino Unido: 100.000 ataques este año, que causan pérdidas crecientes a empresas (14.000 millones) y particulares, además de serios riesgos al Estado e  instituciones, aunque el 95% quedan impunes. Es una ciberdelincuencia organizada a nivel mundial, que mueve ya más dinero que las drogas. Y seguirá creciendo, con los móviles y el Internet de las cosas. Urge un acuerdo mundial contra los ciberataques, con más colaboración internacional y fuertes inversiones. En España, empresas y particulares gastamos poco en ciberseguridad, aunque estamos cada vez más "enganchados". Navegue, pero más seguro.
 

enrique ortega

En el mundo hay más de 3.000 millones de personas que navegan por Internet, el 40% de la población. Y cada día se enfrentan a ataques informáticos de mafias organizadas y hackers particulares: 689 millones de internautas (1 de cada 5) fueron víctimas de ataques informáticos en 2015, lo que da una media de 2 millones de internautas atacados cada día, según datos de la consultora Symantec. La mitad son ataques por virus informáticos y códigos maliciosos (malware), un 10% son estafas online, otro 9% es phishing (robo de datos), un 7% más ataques a redes sociales, otro 7% son fraudes online en tarjetas de crédito y un 7% más es acoso sexual cibernético, según el último Informe Norton sobre ciberdelitos. Los sectores más afectados son la sanidad, las ventas, la educación, los Gobiernos y las finanzas. Y un tercio de estos ciberdelitos no se resuelve.

Los ciberataques son cada vez más profesionales y afectan a más internautas. Hace unos días, por ejemplo, se ha informado sobre un ataque remoto a cajeros de varios países europeos (Armenia, Reino Unido, Bulgaria, Polonia, Holanda, Rusia y España entre ellos) por los que los cibercriminales elegían la hora exacta en la que los cajeros dispensaban millones de dólares tras manipularlos de forma remota. El 21 de octubre, dos ciberataques al proveedor de Internet estadounidense Dyn afectaron a más de 1.000 millones de usuarios de todo el mundo, en el mayor ciberataque de la última década, que bloqueó durante horas el acceso a las webs de empresas como Twitter, Spotify, Amazon, PayPal, Netflix, Play Station Network, New York Times, Finantial Times o Wall Street Journal. En septiembre, Yahoo reveló que en 2014 le habían robado los datos de 500 millones de cuentas de correo, mientras antes, en verano, se conoció el hackeo y robo de datos de cuentas de Dropbox, Twitter, MySpace o Linkedin. Una larga lista de ciberdelitos que también ha afectado a grandes empresas (Sony), bancos, países (Irán, Ucrania, datos funcionarios USA) o políticos.

Nada ni nadie se salva de los ciberataques, que se lanzan sobre todo por intereses económicos, por ganar dinero con la información (los datos de una tarjeta de crédito se están pagando entre 12 y 80 dólares en el mercado negro), por espionaje industrial o por razones políticas y estratégicas. Al final, el daño de los ciberataques es tremendo: las pérdidas provocadas en 2015 se estiman en 126.000 millones de euros, según Symantec. Pero muchas empresas y particulares no lo denuncian, con lo que las pérdidas reales de los ciberataques pueden ser muy superiores: se estiman entre 375.000 y 575.000 millones de dólares, según el último análisis de la empresa McAfee. Y de ellos, 200.000 millones de dólares son pérdidas por ciberataques sólo en los países más desarrollados de Occidente.

España es el tercer país con más ciberataques, tras EEUU y Reino Unido. Este año 2016 se cerrará con más de 100.000 ataques informáticos detectados, más del doble que los sufridos en 2015 (60.000) y cinco veces los de 2014 (18.000 ataques), según el Instituto Nacional de Ciberseguridad (INCIBE), que vigila la Red desde León. Los ataques más frecuentes son intentos de estafa y fraude (intentar conseguir información y/o dinero), intentos de suplantación de identidad, robos de cuentas de correo, ataques a la privacidad y cupones falsos o mail que imitan a empresas o instituciones para inocular virus y tratar de conseguir datos. En paralelo, llegan a la policía y a los jueces cada vez más presuntos “delitos informáticos”. Así, en 2015 se incoaron en los juzgados 22.575 procedimientos por delitos informáticos, el doble que en 2013 (11.990 procedimientos) y casi cuatro veces más que en 2011 (6.532), según la Memoria del Poder Judicial. Pero llama la atención que la mayoría de estos procedimientos no son llevados a juicio: en 2015, sólo 1.242 procesos han acabado en el fiscal (la mitad por estafa), lo que significa que, al menos el 95% de los presuntos delitos informáticos quedan impunes. Y de ese 5% que van al fiscal, pocos acaban en la cárcel.

Los ciberataques se centran en España en internautas, empresas y organismos públicos. Empezando por los 28 millones de internautas, las dos terceras partes (64,6%) reconocen que han sufrido algún incidente al utilizar Internet, según la encuesta de Equipamiento y Tecnología 2015 del INE. Más de la mitad sufren “spam” (correos no deseados) y otro 24,6% han sufrido algún virus, con lo que el 50,9% de los internautas reconocen que han limitado su uso de Internet por razones de seguridad. Y esta desconfianza en la seguridad de Internet  es la principal causa de que los españoles compren menos online: sólo el 19% compran semanalmente por la Red, frente al 29% en el mundo, el 45% en Reino Unido, el 34% en Alemania, el 32% en Italia y el 27% en Francia, según PwC.

Respecto a las empresas españolas, 2016 se cerrará con más de 25.000 ataques informáticos, según datos del Centro Nacional de Inteligencia (CNI), aumentando más los ciberataques a las pymes (+64% este año), más desprotegidas, que a las grandes empresas (ataques crecen +44%). Los expertos denuncian que los ataques a empresas que más crecen son los “secuestros de datos” (“ramsonware”), que ya sufren 4 de cada 10 empresas europeas: se infecta a la empresa con un virus que secuestra los archivos (ordenadores o teléfonos) y el hacker se ofrece a devolverlos a cambio de un rescate (1.000 a 3.000 euros) que se pagan en moneda o bitcoins en una cuenta de Pay Pal. El año pasado, por ejemplo, unos piratas bloquearon 400.000 archivos de IFEMA (Feria de Madrid), aunque el chantaje no funcionó porque tenían copias de seguridad.

El tercer frente de los ciberataques se dirige a empresas estratégicas, organismos oficiales y Ministerios. El Centro Criptológico Nacional (CNN), un organismo encuadrado en el CNI, ha detectado este año 19.090 ataques a entidades públicos y empresas estratégicas, el doble de ataques que en 2013 (7.263) y 100 veces más que en 2009 (193 ataques). De ellos, el 3% (570 ataques) son de peligrosidad muy alta y otro 63,3% de alta peligrosidad, generalmente ligados al ciberespionaje industrial y político, de servicios de inteligencia extranjeros. Y preocupa cada vez más el ciberyihadismo, que mejora su eficacia en Occidente.

Cara al futuro, todo apunta a que los ciberataques seguirán creciendo, sobre todo porque los ciberdelincuentes son cada vez más profesionales y están más organizados: no se trata sólo de los  hackers individuales sino de organizaciones internacionales, con muchos medios y que mueven millones de dólares. Se dice que la ciberdelincuencia mueve ya más dinero que la droga y que llegará a movilizar 2 billones de dólares en 2019, aprovechando la descoordinación de los Gobiernos, los resquicios legales y la falta de una policía internacional eficiente (se piden más medios para Interpol). Además, el auge de los móviles y el desarrollo del Internet de las cosas les facilitan el trabajo. En los dos ataques de octubre, los ciberdelincuentes utilizaron para atacar dispositivos muy vulnerables (routers, impresoras, TV inteligentes y dispositivos conectados a Internet), convirtiéndoles en un “ejército de robots” que saturó servidores por sobrecarga. Y los expertos advierten que cada día se venden sin control de seguridad millones de dispositivos que son “las puertas traseras” para entrar en sistemas muy protegidos. Y en 2020, la mitad de aparatos del hogar estarán conectados a Internet: serán los caballos de Troya de los hackers.

El auge de la ciberdelincuencia ha disparado las inversiones en ciberseguridad, una de las industrias con más futuro. Las empresas que venden consultoría y sistemas de seguridad informática facturaron 75.000 millones de dólares en 2015, según la consultora Gartner, y duplicarán su negocio para 2020. En España hay unas 550 empresas especializadas en ciberseguridad, que emplean a más de 6.000 personas y que facturaron unos 600 millones de euros en 2014, según el Observatorio de las Telecomunicaciones. Y se espera que las empresas españolas inviertan en ciberseguridad más de 1.000 millones en 2019. El problema es que las empresas españolas invierten en ciberseguridad menos que en otros paises, sobre todo las pymes. La inversión en ciberseguridad es importante en las grandes empresas, bancos, aseguradoras, empresas de energía y telecos, defensa y sector aeroespacial, pero menos en el comercio, los servicios y la industria. De hecho, sólo un 17% de las grandes empresas industriales tiene un Plan definido de seguridad informática y el 10% incluso ignora los riesgos, según un informe del Centro de Seguridad Industrial. Con todo, las que menos gastan en ciberseguridad son las pymes, que según los expertos están “desnudas”, como si tuvieran negocios físicos sin cierres de seguridad y alarmas. Y los particulares, tenemos cada vez más antivirus, pero sin gastar casi nada en ellos ni actualizarlos.

El mundo tiene que tomarse en serio la lucha contra la ciberdelincuencia, como ha empezado a hacer con el Cambio Climático. Obama declaró la ciberseguridad como uno de los objetivos estratégicos de EEUU  y ahora Trump ha reiterado que será una de sus prioridades de Gobierno. En Europa, la Comisión aprobó en febrero de 2016 una Directiva que establece medidas para lograr un elevado nivel de ciberseguridad en Europa, obligando a los países y empresas europeas a informar, desde 2018, de incidencias y fugas de datos. Y en España, Rajoy aprobó el 5 de diciembre de 2013 la Estrategia de Ciberseguridad Nacional, un punto de partida a la que le faltan medios, fondos y una mayor coordinación entre instituciones públicas y con las empresas privadas. Baste un dato: el Instituto Nacional de Ciberseguridad (INCIBE), responsable de vigilar el “cibercrimen” en España, cuenta sólo con 25 especialistas y 20,7 millones de euros de Presupuesto. Y en paralelo, hay que revisar la legislación y su aplicación, con más medios policiales y judiciales, para que el ciberdelincuente acabe realmente juzgado y en prisión, no como ahora la mayoría.

La lucha contra la ciberdelincuencia exige más medios públicos, más inversiones de las empresas y ayudas para las pymes, además de una política de información y asesoramiento a los internautas, como la emprendida por la Policía Nacional, que se ha sumado a la campaña de Europol para que los ciudadanos protejan sus móviles (¡ojo a las apps que instalamos).Y hay que establecer una normativa muy exigente para bancos y las empresas que vendan online, para que inviertan en la seguridad de sus sistemas y contraten ciberpólizas de seguros que cubran los riesgos online de sus clientes. Y todos debemos ser mucho más cuidadosos con Internet, con las contraseñas, correos, fotos, redes sociales, ofertas, apps, las webs donde nos damos de alta o las transferencias. La Red es un gran invento pero es también el nuevo campo de juego de delincuentes muy eficientes. Gobierno, instituciones, empresas, bancos y particulares tenemos que tomárnoslo más en serio, porque estamos más desprotegidos de lo que deberíamos. Internautas sí, pero más seguros.