Carme Artigas: “Los ciberdelitos son el primer crimen organizado a escala internacional, por delante del narcotráfico y de la trata de personas”

Siete de cada 10 empresas españolas sufrieron un ataque de ransomware en 2021 (un 234 % más que el año anterior), según un estudio de Sophos en colaboración con más de 5.000 empresas de entre 100 y 5.000 trabajadores en todo el mundo. Una amenaza global cuyo coste (la cantidad media pagada como rescate por las empresas) se multiplicó por cinco, hasta alcanzar los 812.360 dólares (832.990 euros), a pesar de que los expertos recomiendan no pagar nunca el rescate y de que un 29 % de ellas no consiguiera recuperar la información que les había sido secuestrada incluso después de haber formalizado el pago del mismo: en España, por ejemplo, lo abonaron un 38 % de las mismas. Solo en 2021, el Instituto Nacional de Ciberseguridad (INCIBE) atendió 109.126 incidentes, de los cuales más de 90.000 correspondieron a ciudadanos y empresas. Con ocasión del mes europeo de la ciberseguridad, que celebra en 2022 su décima edición centrada en el ransomware y el phishing bajo el lema Think Before U Click (Piénsalo antes de hacer clic), EL PAÍS conversa con Carme Artigas, secretaria de Estado de Digitalización e Inteligencia Artificial.

Pregunta. ¿Existe hoy un mayor número de ciberamenazas?

Respuesta. La ciberseguridad va asociada al perímetro de la transformación digital: a medida que ampliamos la digitalización a distintos sectores productivos y actividades del ámbito personal, aumenta el perímetro de riesgo, pero este no puede privarnos de los beneficios que ofrece la digitalización. Es cierto que ante la pandemia se triplicaron los ataques en los entornos vinculados a la covid, aunque ya desde el 2021 estos regresaron a un estado normal. Lo que sí se ha ampliado es el número, la sofisticación y el alcance de los mismos.

Hoy en día la ciberseguridad forma parte de una política nacional de seguridad. La geopolítica (lo estamos viendo en el conflicto de Rusia contra Ucrania) incluye una guerra híbrida, y la ciberseguridad forma parte de este riesgo. Todos los recursos del Estado y las estrategias de seguridad nacional contemplan estrategias de ciberseguridad, que además también se pueden trasladar ámbito físico. Con un ciberataque puedo cargarme, por ejemplo, un oleoducto, que es una infraestructura crítica.

Si nos vamos a la misión que tiene un Estado de proteger a sus ciudadanos, empresas y Administraciones, ahí tenemos una labor que debemos tomarnos en serio, porque la seguridad de un país es la seguridad de su eslabón más débil. En el caso de las Administraciones públicas, España es el cuarto país más ciberseguro del mundo, y el segundo a nivel europeo. Sin embargo, tenemos una gran labor que hacer en el ámbito de las administraciones autonómicas y locales, y en ese sentido hemos preparado un plan de choque de casi 1.000 millones de euros.

P. ¿Cómo se protege a empresas y administraciones?

R. Muchos ataques que ha habido últimamente en la Administración vienen porque un Ayuntamiento pequeñito tiene su página web en una nube abierta, comercial, que no sigue el esquema nacional de Seguridad. Una de las cosas que hemos hecho, como consecuencia de la guerra entre Rusia y Ucrania, es ampliar y modificar el esquema nacional de seguridad hacia un nivel más alto. Y ¿cómo protegemos a las empresas? Pues llegando al eslabón más débil: en este caso las pymes, que solo invierten un 6 % de su presupuesto en ciberseguridad. Las pymes no están ni protegidas ni son conscientes de que esto también les afecta, y solo toman consciencia cuando sufren un ataque: después de, por ejemplo, haber pagado una factura falsa, porque pensaban que pagaban a su proveedor, cuando en realidad no era así.

Los principales ataques a las pymes están relacionados con el phishing o, lo que es lo mismo, una suplantación de identidad, en este caso de otras empresas que obligan a hacer una transferencia a una cuenta que no es la habitual, y que pagan convencidos de que es legítima. Hace falta una parte de concienciación de los riesgos y otra parte de protección. Estamos también trabajando con el sector asegurador, para que asegure a las pymes en el ámbito de la ciberseguridad. De la misma manera que tú tienes que protegerte ante la posibilidad de que te rompan el cristal del escaparate y te roben las joyas que tienes, si hay nuevos peligros, también debe haber nuevos mecanismos de protección.

Luego, a nivel de los ciudadanos, también tenemos que protegerlos. Y lo primero es llegar a la concienciación. Y ahí lo hicimos con el 017, que es el teléfono de la ciberseguridad de España, para hacer consultas como ciudadano, padre, educador o dueño de una pyme o de una gran empresa sobre cualquier riesgo y peligro alrededor de la ciberseguridad: desde ciberbullying a una posible adicción porque mi hijo lleva muchas horas jugando, el haber pagado una factura falsa o recibir un sms de mi banco diciéndome que tenía que volver a meter las credenciales, algo que le pasa a mucha gente mayor.

P. ¿Qué magnitud tienen hoy los ciberdelitos?

R. El cibercrimen es el primer crimen organizado a escala internacional, por delante del narcotráfico y de la trata de personas. No porque haya muchísimos más ataques de ciberseguridad que personas que trafican con la droga en el mundo, sino porque con muchísimos menos ataques se consigue más dinero. Con un solo ataque te encripto la información y te pido un millón de euros de rescate. Y como cibercrimen organizado que es, se mueve en la deep web y en otros entornos; además de ser una herramienta de ciertos Gobiernos, que han auspiciado organizaciones criminales con objetivos de desestabilización política y geopolítica.

Estamos ante un nuevo delito de escala internacional, y por eso el ransomware tiene un impacto tan importante: no porque una pyme lo tenga, pero sí que lo tendrá un centro de investigación, una gran compañía o un oleoducto, y ese impacto económico es altísimo. Pero el impacto que más me preocupa no es el económico, sino que detrás de ese primer daño directo hay otro más profundo, que es el daño en la confianza. Detrás de cada ataque de ciberseguridad hay un daño a la confianza, a las instituciones, a la tecnología o al proceso de modernización y digitalización. Y esto también lo tenemos que combatir, y por eso es muy importante aunar muchos esfuerzos en la parte de prevención a escala internacional.

P. ¿En qué consiste exactamente un ataque de ransomware?

R. Es un ataque en dos fases. Primero hay un malware, algo que te infecta el sistema y que puede estar latente durante meses sin que tú te hayas enterado. A veces es un portátil conectado a una red pública, o un correo que alguien de tus empleados abre sin saber que contiene un virus, y entonces ese virus se instala en tu sistema, rastreando un determinado tipo de información, de datos y ficheros que sabe que son de valor, o las credenciales de una persona para acceder a un sistema crítico. En ese momento el malware instalado envía una señal a su matriz. Y esa señal es la que luego desencadena el envío del ransomware, que es como un segundo virus, que lo que hace es llegar a ese punto débil que ha detectado el primer virus, coger esa información, encriptarla, bloquearla y exigir un rescate.

Tú te enteras de que has tenido allí un virus durante mucho tiempo cuando alguien te exige un rescate. ¿Qué hacemos nosotros con un sistema de alerta temprana? Pues que somos capaces de detectar el momento donde el primer virus está a punto de avisar a la matriz para que envíe el ransomware, y ahí cortamos las comunicaciones. Cuando no lo detectas, ese ransomware llega a ese punto caliente, encripta toda la información y te pide un rescate, inutilizando esa información. Lo que tienes que hacer es buscar tus backups y restituir los sistemas de origen. Y, evidentemente, nunca pagar. Esta es la clave número uno en cualquier rescate; y también en el mundo digital. La otra posible consecuencia negativa es que a la vez que te están pidiendo rescate, ya se haya filtrado parte de esta información en la web.

P. ¿De qué forma puede protegerse una persona individual?

R. Lo más importante para la ciberseguridad es el sentido común; lo importante es tener contraseñas robustas, disponer de las actualizaciones de todos los parches de seguridad de tus aplicaciones de software, copias de seguridad, hacer caso de los consejos para navegar en línea y en las redes sociales, no abrir correos sospechosos, saber detectar incluso palabras o construcciones que se intuya que puedan haber sido generadas automáticamente por un robot de inteligencia artificial... Vigila las direcciones de correo desde las que te envían esos correos, los mensajes sms... Y sobre todo protege tus datos personales: no digas que sí a todo lo que te piden para jugar a un juego, que no necesita acceder a tus fotos.

P. ¿Por qué ha habido ese crecimiento tan pronunciado de ataques de ransomware en 2021?

R. Porque es fácil en el fondo. Porque incluso hay en la dark web organizaciones que le venden paquetes de ransomware a otras organizaciones criminales. Al final, los ciberdelincuentes se han dado cuenta de que no estamos protegidos ni hemos invertido en ciberseguridad. El riesgo cero no existe, pero estamos muy lejos de llegar a unos niveles de protección adecuados. Imagínate que tuvieras una joyería y no dispusieras ni de alarma ni de reja: pues esto es lo que está pasando en muchas pequeñas y grandes empresas que no han invertido en ciberseguridad. Creo que ya somos lo suficientemente conscientes de estos problemas como para mantener seguros nuestros negocios, porque existen también una industria de ciberseguridad muy potente que va por delante y se está renovando cada día.

P. ¿Qué papel juega la inteligencia artificial en el futuro de la ciberseguridad?

R. Hay todo un tema de usurpación alrededor de los deep fakes, y la inteligencia artificial ayuda a detectar los riesgos de ciberseguridad. Piensa que, mientras el machine learning lo entrenas con patrones de muchos datos, la ciberseguridad no se entrena así, porque la ocurrencia de un ataque no es habitual. Por eso, el método que se utiliza es el de la detección de anomalías; las técnicas de ciberseguridad han sofisticado el nivel de ataque, pero también permiten desarrollar herramientas de defensa mucho más sofisticadas. Yo creo que la inteligencia artificial y la ciberseguridad van de la mano.

P. ¿Ha jugado la pandemia un papel importante en el aumento de los ciberdelitos?

R. Sí, porque de la noche a la mañana se aceleraron seis años los procesos de transformación digital de las empresas, del ámbito social, de la relación de las personas, de la educación... Al aumentar el ámbito de aplicación de la digitalización, aumentó el perímetro de riesgo. La necesidad inmediata de mantener una actividad social o económica nos hizo lanzarnos a la digitalización, sin pensar que también nos teníamos que lanzar a la ciberprotección. Eso es muy acusado quizá a nivel personal y de pymes, pero no tanto las grandes empresas, que ya se habían dado cuenta los últimos cinco años de que parte de sus presupuestos importantes los tenían que dedicar a la ciberseguridad. Y esta es la labor que estamos haciendo desde INCIBE.

P. ¿Estamos ya suficientemente concienciados o queda mucho por hacer?

R. Queda mucho por hacer y es una de las prioridades que tenemos. Muchos de los ataques de ciberseguridad son consecuencia de un error humano: porque te han convencido para hacer clic en un correo en el que no tenías que haberlo hecho, o cuando has dado por bueno un sms que te pedía unos códigos de tu tarjeta de crédito o de tu cuenta corriente. Aún a nivel personal, hay mucho que hacer. Y luego, en las escuelas, hemos hecho un acuerdo con las Fuerzas y Cuerpos de Seguridad del Estado para hacer una formación a todos los institutos en ciberseguridad, porque nuestros hijos utilizan muchísimo las redes sociales, donde se relacionan habitualmente, y eso es una gran fuente de entrada de virus, de ataques o de accesos ilícitos a esa información. Pensamos que los jóvenes, por hecho de haber nacido en la generación digital, son conscientes de los riesgos, y no lo son. Ni de sus riesgos, ni de su exposición o de sus fotos personales, algo que también se tiene que ayudar a prevenir, porque da lugar a ataques de ciberacoso. Hay toda una serie de normas y protocolos. Tenemos un programa que se llama Internet Segura for Kids desde hace muchos años.

P. ¿Los mayores son especialmente susceptibles a este tipo de delitos?

R. Nosotros tenemos un Plan Nacional de Competencias Digitales que vamos a empezar a desplegar a final de año, donde una parte muy importante es la formación en ciberseguridad y también la protección de los mayores. Una persona mayor no entra en una red social, pero puede recibir un SMS en el móvil y pensar que es de su banco o su centro de salud, y dar datos personales. Y luego está la formación de profesionales. En España faltan 83.000 profesionales antes de 2024 para cubrir las demandas que están generándose, justamente porque cada vez más empresas de todos tamaños están yendose al mundo digital.

FORMACIÓN EL PAÍS en Twitter y Facebook

Suscríbase a la newsletter de Formación de EL PAÍS