Los robos a empresas revelan la industrialización de la ciberdelincuencia
El auge de los ataques es una amenaza social y política para la que gobiernos, empresas y ciudadanos no están preparados
Imagen de un experto del Incibe. JESÚS F. SALVADORES
La actualidad de las últimas semanas ha revelado un elemento común entre Banco Sabadell, Ticketmaster, la DGT, Telefónica e Iberdrola: todas estas empresas han sufrido el robo masivo de datos de sus usuarios. Y todas ellas han restado importancia a sus ciberataques, afirmando que los ‘hackers’ solo han obtenido información personal sin relación con los medios de pago. Pero los elevados precios que se pagan en la ‘dark web’ por esos datos, a veces incluso millones de euros, reflejan una realidad muy diferente: son oro puro para llevar a cabo todo tipo de estafas, chantajes e incluso campañas de desinformación política.
Es un problema en rápido auge. «En 2012, la ciberdelincuencia representaba solo el 4% de todas las denuncias; ahora es el 23%. Y el número real es muy superior, porque muchas víctimas ni siquiera denuncian», comenta el abogado especializado en ciberseguridad Borja Adsuara. Francisco Valencia, director general de la firma Secure&IT, coincide: «Según datos de las Fuerzas y Cuerpos de Seguridad del Estado, si comparamos enero y febrero de 2024 con los dos primeros meses del año pasado, la cibercriminalidad crece un 13,5%».
Ciberdelito industrializado
Y a nivel global su fuerza asombra: «Si la ciberdelincuencia fuese un país, sería la tercera potencia mundial medida por el dinero que mueve, solo por detrás de Estados Unidos y China», afirma. En muchos casos, es más jugosa que el narcotráfico o la venta de armas, porque tiene muchas menos consecuencias.
Todos los expertos consultados coinciden en resaltar un cambio que se ha producido desde la pandemia: la ciberdelincuencia se ha industrializado para explotar a fondo este goloso negocio caracterizado por la transnacionalidad y la transversalidad. «Los delincuentes se estructuran en diferentes niveles que colaboran sin conocerse», explica Diego Alejandro, jefe de la Sección de Seguridad Lógica de la Policía Nacional. «Unos se dedican a desarrollar el ‘malware’ necesario para llevar a cabo la intrusión. Lo venden en la ‘dark web’ a quienes realizan el ataque para cifrar y exfiltrar los datos. Luego, a su vez, esos pueden vender los datos, ordenados o no, a los especialistas en suplantar identidades o estafar», ahonda Alejandro. «Salvo que se dediquen al activismo político, que también crece, estas organizaciones conforman una industria sin bandera y funcionan como cualquier empresa, con departamentos de Recursos Humanos, Facturación y Servicio al Cliente», añade Javier Diéguez, director general de Cyberzaintza, la Agencia Vasca de Ciberseguridad.
Ingeniería social
«Las campañas más peligrosas son las estacionales. O sea, las que se producen en momentos como el Black Friday o la declaración de la renta, porque aumenta el número de personas que operan en internet», analiza Diéguez. Los estafadores crean páginas web muy similares a las de administraciones o empresas y, con tácticas de ‘phishing’, logran extraer los datos críticos de tarjetas de crédito o cuentas bancarias para hacerse con el dinero. Pero los riesgos van mucho más allá. Sobre todo cuando entra en juego lo que se denomina ingeniería social. «A través de la interacción con la víctima, sobre todo mediante redes sociales, los criminales logran los datos que les faltan para atacarla. Los delincuentes son cada vez más pacientes. Por ejemplo, para poner en marcha una ‘estafa del amor’ exitosa pueden tener que dedicar meses», señala Alejandro. Y de lo que publicamos en redes también se pueden extraer detalles jugosos.
Y los datos pueden ser la materia prima para todo tipo de campañas. «Si consiguen información médica, pueden chantajear a quienes sufren alguna enfermedad de transmisión sexual, amenazándoles con enviar esos datos a todos sus contactos si no pagan. Y también pueden estafar a quienes tienen algún mal incurable con falsos tratamientos milagrosos», pone como ejemplo Valencia. «Y con según qué datos, aparentemente inocuos, incluso pueden determinar qué casas están vacías y vender esa información a redes de ocupación. Si eres padre o madre, además, puede resultar interesante chantajearte con fotos sexuales manipuladas de tus hijos», añade. «Los ciberdelincuentes cada vez son más creativos y sofisticados»., asegura.