“Al finalizar mi conferencia llegaremos a la lamentable conclusión de que ustedes son el objetivo de las cuatro principales modalidades de ciberdelincuencia, al margen de la ciberguerra”. Quien lanzaba esta alarmante advertencia a los empresarios y responsables de seguridad informática que asistieron a su charla, celebrada en la sede de la Confederación de Empresarios de Navarra (CEN), era Luis Hernández, jefe del Área técnica de la Unidad de Ciberseguridad de la Guardia Civil. Su ponencia formaba parte de la jornada «Ciberamenazas para el sector empresarial», organizada por la CEN, la Guardia Civil y la Asociación Navarra de Empresarios del Metal (ANEM).
“No espía el que no puede o no sabe, pero todo el mundo usa malas artes»
Las cuatro modalidades de ciberdelincuencia a las que aludió el conferenciante son el hackerismo, el cibercrimen, el espionaje cibernético y el terrorismo informático, siendo la más notable el espionaje. Luis Hernández dijo que en el año 2014 el gobierno alemán calculó en 55.000 millones de euros el patrimonio intelectual de sus pymes, y estimó que el 45% había sido robado mediante el ciberespionaje. En Gran Bretaña, añadió, dicho patrimonio rondaría los 36.000 millones de libras “y estarían comprometidos más de 20.000”, mientras que en España “el 60% de las pymes habrían sufrido ciberataques para intentar robarles su know how, y ya sabéis que si os roban las ideas, la empresa está muerta”.
El ponente dijo que no hace falta irse a China, Rusia o Corea del Norte para buscar a los delincuentes: “No espía el que no puede o no sabe, pero todo el mundo usa malas artes. El enemigo puede estar en China, pero lo más probable es que esté ahí cerca, piensen en su mercado, en su competidor directo”.
Sobre el cibercrimen dijo que el problema es que no lleva implícita la carga de dramatismo o violencia del delito físico, “pero el cibercrimen es la forma delictiva que más daños causa a la sociedad y que más beneficios reporta a los ciberdelincuentes”, aseguró Luis Hernández, quien señaló que las víctimas no suelen denunciar los ataques para evitar que la imagen reputacional de la empresa resulte dañada, a pesar de que existe una directiva europea que obliga a presentar la denuncia. El ponente precisó que se trata de una práctica delictiva muy común, que padecen buena parte de las empresas, por lo que no se produce realmente el supuesto deterioro de la imagen que sí podría entenderse en el caso de que las empresas afectadas fueran una minoría.
El cibercrimen es la forma delictiva que más daños causa a la sociedad y que más beneficios reporta a los ciberdelincuentes
¿Qué buscan los cibercriminales? El lucro ilícito, que consiguen mediante fraudes bancarios, el robo de credenciales y contraseñas de pago, la extorsión… Pueden ser organizaciones terroristas como Al Quaeda o el Estado Islámico, que se han financiado utilizando códigos de tarjetas de crédito robados informáticamente. Luis Hernández citó el reciente ataque que afectó a miles de empresas en todo el mundo en el que se utilizó el virus WannaCry, el ‘ransomware‘ (programa para el secuestro de datos por los que se pide un rescate) de mayor impacto desde que se está utilizando esta técnica delictiva, y desaconsejó pagar a los ciberdelincuentes porque abonar el rescate no garantiza que se vaya a recuperar la información.
Sobre la actividad de los hackers dijo que hay que distinguirlos de los ciberactivistas, que legalmente utilizan el ciberespacio para transmitir inquietudes sociales. “Detrás de casi el 60% de los incidentes cibernéticos registrados en Estados Unidos están los hackers”, entre los que destaca por su popularidad el colectivo Anonimous. Dirigen sus ataques, fundamentalmente, contra las grandes empresas y bancos, justificándolos con argumentos como que son los patronos y los banqueros los que oprimen a los trabajadores, por lo que cuentan con numerosos simpatizantes, pero en ocasiones son contratados por gobiernos con objetivos políticos.
En cuanto al ciberterrorismo, Luis Hernández expuso que es utilizado sobre todo por bandas terroristas para el adoctrinamiento y reclutamiento de activistas, aunque puede afectar a las empresas encuadradas en algunos de los sectores considerados críticos desde el punto de vista de la seguridad: Energético, Tecnologías de la Información, Transportes, Sector Hídrico, Salud y Biología, Alimentación (Centros de almacenamiento y distribución), Finanzas, Sector Nuclear, Químico, Investigación, Espacio (Centros de control y telecomunicaciones) y Administración (Altas Instituciones del Estado, Defensa, Interior, Partidos Políticos, Servicios de Emergencia).
¿Cuál puede ser la estrategia de las empresas para defenderse de la delincuencia informática? El experto recomendó la adopción de precauciones de “sentido común”, como no abrir correos cuyo remitente se desconozca, encriptar discos duros que puedan tener informaciones sensibles o controlar el uso personal de herramientas de trabajo, como pueden ser los smartphones. Asimismo, aconsejó a las empresas que «más que formar» personal propio, deben «contratar» especialistas. Lamentó que España está «exportando» especialistas en seguridad tecnológica a Europa y Estados Unidos, jóvenes “perfectísimamente” formados que «lamentablemente no tienen mercado laboral en España, porque las empresas no invierten en seguridad y se los cedemos a Alemania, a Inglaterra o a Estados Unidos».Además, para encarar estas ciberamenazas, recordó la disposición de la Guardia Civil. “Estamos aquí para ayudar a los empresarios, además de contar con la colaboración de organismos nacionales e internacionales para hacer frente a estas amenazas”.
La jornada se cerró con un taller práctico con demostraciones en directo de ataques a equipos como ordenadores, móviles o tablets, cada vez más frecuentes en el entorno digital.