En 2016 se produjeron en España 315 ataques informáticos diarios
a empresas, instituciones o particulares, más del doble que en 2015, cuando ya se triplicaron sobre los de 2014. Y esos son los ataques que se
detectan o se denuncian, porque ciberataques
puede haber diez veces más. De hecho, el cibercrimen mueve ya en el mundo más dinero que la droga y ataca a 1 de cada
5 internautas (689 millones en 2016). Esto exige una mayor atención de los
particulares a su seguridad informática y, sobre todo, fuertes inversiones de Gobiernos y empresas en
ciberseguridad, una de las industrias con más futuro. En España, empresas y
particulares gastan poco en ciberseguridad y sólo una de cada cinco grandes
empresas tiene un Plan de seguridad informática. Urge un acuerdo mundial contra el cibercrimen, como el alcanzado contra
el Cambio climático. Y en España, ampliar presupuestos y medios públicos, desde técnicos a policías y jueces especializados. Son delitos muy peligrosos para la economía y nuestra vida
diaria.
La mitad de la población mundial es internauta, unos 3.773 millones en 2016, y un tercio son activos en la Red: 2.789 millones de personas. Pues bien, 1 de cada 4 de estos internautas activos sufrió algún ciberataque en 2016: 689 millones de personas, según revela el informe Norton sobre Ciberseguridad 2016. Según sus estimaciones, los ciberdelincuentes lanzaron más de 1 millón de ataques diarios y causaron pérdidas por 125.900 millones de dólares (119.900 millones de euros), lo que convierte al cibercrimen en el mayor negocio ilegal del mundo, por delante del narcotráfico o el tráfico de armas, según los expertos.
 |
| enrique ortega |
La mitad de la población mundial es internauta, unos 3.773 millones en 2016, y un tercio son activos en la Red: 2.789 millones de personas. Pues bien, 1 de cada 4 de estos internautas activos sufrió algún ciberataque en 2016: 689 millones de personas, según revela el informe Norton sobre Ciberseguridad 2016. Según sus estimaciones, los ciberdelincuentes lanzaron más de 1 millón de ataques diarios y causaron pérdidas por 125.900 millones de dólares (119.900 millones de euros), lo que convierte al cibercrimen en el mayor negocio ilegal del mundo, por delante del narcotráfico o el tráfico de armas, según los expertos.
La razón es este auge de los ciberataques es que los internautas siguen sin tomar medidas para
proteger sus dispositivos, mientras los ciberdelincuentes son cada vez
más sofisticados. De hecho, según el informe Norton, el 35% de la población
mundial tiene algún dispositivo informático sin proteger, lo que propicia
los ciberataques. Y más con el auge del “Internet de las cosas”: 1 de cada 5 dispositivos domésticos enlazados a la Red no
cuenta con la protección necesaria y eso explica el auge de los ciberdelitos.
La mayoría de los ataques, según el informe Norton, se centran en el robo
de contraseñas (“phishing”), para el posterior acceso a información
financiera y personal, además del “hackeo” del correo electrónico o de los
archivos y material sensible de particulares y empresas. También la suplantación de empresas y organismos,
para el envío de correos en su nombre pidiendo información, como ha denunciado
en febrero de este año el Banco de España.
España es el país nº
19 en el ranking mundial de
ciberdelitos y el 8º europeo, según
el último informe de Symantec. El cibercrimen representa ya el 32% de la delincuencia económica en España y mueve unos 10.000 millones de
euros al año, según estimaciones de los expertos. Y avanza año tras año de forma imparable: si en 2014 se detectaron
unos 18.000 ciberdelitos, en 2015 alcanzaron los 50.000 y en 2016 se han superado los
115.000 ciberdelitos, más del doble, según el balance del Instituto Nacional de Ciberseguridad(INCIBE), con sede en León. De ellos, 110.293 fueron ataques informáticos a empresas y ciudadanos, 479 a operadores críticos (energía, transportes, comunicaciones, puertos) y otros 4.458 ataques a la red RIS (Universidades y centros de Investigación). Y eso son
los ataques detectados por INCIBE o denunciados por particulares y empresas,
porque hay muchos ciberataques que no se detectan ni se denuncian (por no dañar la imagen de empresas), con lo que
se estima que los ciberataques reales,
en España y en el mundo, pueden ser diez veces los detectados.
En paralelo a los ciberdelitos detectados por el Instituto Nacional de Ciberseguridad , están los delitos informáticos que particulares
y empresas denuncian a la policía,
que tiene unidades especializadas contra
los ciberdelitos. En 2015 (últimos datos oficiales) se contabilizaron en España 60.154 delitos informáticos (frente a 42.812 en 2012), de los que dos tercios fueron por fraude informático
(40.864), 10.112 por amenazas y coacciones, 2.386 por acceso ilícito, 2.361 por
falsificación informática, 2.131 contra el honor, 1.233 delitos sexuales, 900
por interferencias en sistemas y 167 delitos informáticos contra la propiedad
industrial. De todos estos ciberdelitos
registrados por la policía, sólo un
tercio pasaron al juez: hubo 22.575 procedimientos judiciales por delitos
informáticos en 2015, según la Memoria de la Fiscalía. La mayoría se tipificaron como estafas (86%) y destacaron
los delitos de “phishing” (robo de datos y claves) y fraudes con tarjetas y
transferencias. Muchos de estos delitos se archivan, bien porque son
importes bajos o porque su investigación es compleja y son delitos muy
difíciles de investigar, con tramas mafiosas en
el extranjero, por lo que se estima que un 95% de los delitos informáticos quedan impunes. Y así, sólo se imputaron por delito informático a 4.667 personas en 2015. Y la mayoría no acaba en la cárcel.
Los ciberataques se centran en España en internautas, empresas y organismos
públicos. Si empezamos por los 28
millones largos de internautas,
las dos terceras partes (64,6%)
reconocen que han sufrido algún incidente
al utilizar Internet, según la Encuesta
de Equipamiento y Tecnología del INE
(2015). Más de la mitad sufren “spam” (correos no deseados) y otro 24,6% han
sufrido algún virus. Según los datos
del Instituto Nacional de Ciberseguridad
(INCIBE), los mayores ataques proceden del envío
de correos y mensajes engañosos, con el objetivo de robar datos y contraseñas. Una variante muy extendida es el “malware bancario”: envío de mail con
virus que se instalan en el ordenador del cliente para robarle claves o números
de cuentas y tarjetas.
Los ataques a empresas son los que más han crecido en los últimos años, con una
media de 2,8 ataques por empresa en 2016, según una encuesta de la consultora PwC, que estima una pérdida de 1,3 millones de euros por empresa.
Según el INCIBE, tres son los ataques informáticos que causan más daño a las empresas españolas. Uno, el secuestro de datos (conocido como “ramsonware” o “criptoware”), que afecta sobre todo a
las pymes: el hacker envía un virus a
la empresa que encripta los archivos y piden un rescate a cambio de desencriptarlos
(una especie de “cibersecuestro” de datos). Normalmente se pide el rescate en
moneda virtual (bitcoins) y en webs extranjeras encriptadas, lo que dificulta
su seguimiento. Otro ciberdelito es el llamado “fraude al CEO”: se accede al correo del directivo de una empresa y se solicitan
pagos a proveedores en la cuenta del ciberdelincuente. Otra variante es suplantar al departamento de compras o
crear tiendas virtuales inexistentes y
enviar correos para ofrecer ofertas y concursos o recabar pagos.
Un tercer frente de ciberataques son las empresas estratégicas, desde la energía a los transportes y las
industrias básicas, apoyándose en que España es el 5º país del mundo con más sistemas informáticos (3.059 sistemas)
que controlan este tipos de instalaciones
y procesos industriales a través de Internet, la mayoría sin la
adecuada protección. Sólo en 2016 se registraron 479 incidentes de seguridad en infraestructuras críticas, un 35%
más que en 2015, según el Centro nacional de Protección de Infraestructuras Críticas (CNPIC). Y según los expertos, esta
estadística no recoge ni el 10% de los incidentes reales: si se analizaran los
5.000 operadores de servicios esenciales, se
contabilizarían realmente unos 100.000 incidentes informáticos al año. Los
servicios más atacados, según un estudio del Centro de Ciberseguridad Industrial, son los servicios de salud (40.000 ataques al año), la energía (la gran preocupación de todos los Gobiernos: en 2015,
un ciberataque dejó a Ucrania sin luz durante 7 horas) y los transportes (Renfe, metro, cercanías, aeropuertos y líneas
aéreas).
Si la ciberdelincuencia es ya un problema muy serio, en el mundo y en España, lo va a ser aún más en el futuro, según los expertos, porque van a seguir creciendo los dispositivos conectados
a Internet (“el Internet de las
cosas”), en las viviendas, los coches y multitud de dispositivos (routers,
impresoras, TV inteligentes…) con poca protección, que los hackers utilizan como un ejército de robots que propicia ataques masivos, como los que en
octubre de 2016 atacaron al proveedor de Internet estadounidense DYN, que afectó a más de 1.000 millones de usuarios en
todo el mundo. En definitiva, cada vez se venden más dispositivos sin
seguridad que los ciberdelincuentes utilizan como “puertas traseras” para entrar fácilmente en sistemas muy
protegidos. Y se estima que para 2020, la mitad de los aparatos del hogar
estarán conectados a Internet y serán “los caballos de Troya” de los hackers.
La clave contra la
ciberdelincuencia es invertir en personal y medios para detectarlos y combatirlos. Las empresas españolas invirtieron unos 3,6
millones de euros al año (de media) en empresas de seguridad (unas 550 en
España, que dan trabajo a 6.000 personas), que facturaron 600 millones de euros
en 2014, según el Observatorio de las Telecomunicaciones. Y se espera que las empresas
españolas inviertan en ciberseguridad
más de 1.000 millones en 2019. El problema es que invierten menos que en otros
paises (en 2016, las empresas invirtieron 76.000 millones en ciberseguridad en el mundo, según Gartner), sobre todo las pymes, que están “desnudas” ante los ciberdelitos,
como si tuvieran negocios físicos sin cierres de seguridad y alarmas. Y que
sólo el 17% de las grandes empresas
industriales tienen un Plan definido de seguridad informática, mientras un 10%
de ellas ignora incluso los riesgos, según el informe
del Centro de Seguridad Industrial. Y
los particulares tenemos cada vez
más antivirus, pero sin gastar casi nada en ellos ni actualizarlos con
frecuencia.
El mundo tiene que tomarse
en serio la lucha contra la ciberdelincuencia, como ha empezado a hacer con el Cambio
Climático. Obama
declaró la ciberseguridad como uno de los objetivos estratégicos de EEUU y ahora Trump ha reiterado que es una de
sus prioridades de gobierno. En Europa,
la Comisión aprobó en febrero de 2016 una Directiva que establece medidas
para lograr un elevado nivel de ciberseguridad, obligando a paises y empresas a
informar, desde 2018, de los incidentes y fugas de datos. Y en España, Rajoy aprobó en diciembre de
2013 la Estrategia de Ciberseguridad Nacional, un punto de partida al que le
faltan medios, fondos y una mayor coordinación entre instituciones
públicas y empresas privadas. Baste un dato: el Instituto Nacional de Ciberseguridad (INCIBE) cuenta sólo con 25 especialistas y 20,7 millones de
euros de Presupuesto. Y en paralelo, hay que revisar la legislación y su aplicación, aportando más medios policiales y judiciales especializados, para que el
ciberdelincuente acabe finalmente juzgado y en prisión, no libre
como ahora.
Internet ha
revolucionado la economía y nuestras vidas pero también se ha convertido en una potente plataforma para robar datos, atacar empresas e instituciones y cometer
fraudes. Y los ciberdelincuentes, unas mafias internacionales
cada vez más organizadas, están mucho más
preparados que los particulares, empresas e instituciones para defenderse.
Urge que tomemos todos conciencia de la gravedad del problema (que va a ir a
más con “el Internet de las cosas”) y que invirtamos más dinero, personal y tiempo en defendernos,
con la ayuda de empresas y personal especializado. Porque estamos más
desprotegidos de lo que creemos. Internautas sí, súperconectados a tope, pero necesitamos estar más seguros.
No hay comentarios:
Publicar un comentario