—Pásame a tu jefe o subiré los datos a la deep web [la parte de internet que no aparece en los buscadores convencionales]. Quiero hacerle una oferta.

—No puedo. Mándamelo todo por escrito.

Así contestó por teléfono Marta (38 años, Madrid), encargada de ciberseguridad en una empresa recreativa de videojuegos, al “Sr. Hacker”, cuando este intentó secuestrar los servidores de la compañía. El pirata informático la intentó chantajear amenazándola con publicar los datos que había robado, como las nóminas de los trabajadores de la empresa, o los DNI de los clientes. Pedía un rescate de un millón de dólares en criptomonedas. Pero Marta se resistió: “Nos pasó el enlace de Onion (una dirección anónima) y vimos que había publicado las nóminas con la información tachada”. Lo que vivió Marta podría parecer parte de un episodio de una serie policíaca, pero no es un caso aislado. En el último año, las autoridades detectaron 180.000 ciberataques en España, según la suma de los datos del Instituto Nacional de Ciberseguridad (Incibe) y el Ministerio de Defensa. “El teletrabajo ha incrementado la exposición y ha provocado un aumento de ciberataques”, señala el Ejecutivo en un escrito enviado al Congreso.

De los 109.000 incidentes de seguridad online atendidos por el Incibe, 90.100 afectaron a ciudadanos y empresas. El resto estuvieron relacionados con operadores estratégicos (680) o con la la Red Académica y de Investigación Española (RedIRIS: 18.278), según el balance del organismo.

Las Administraciones Públicas tampoco se salvan. El ciberespionaje al presidente, Pedro Sánchez, y la ministra de Defensa, Margarita Robles por el programa israelí Pegasus es solo un ejemplo: en 2020 se registraron 82.530 incidentes de ciberseguridad y, el año pasado, 69.202. De ellos, más de la mitad afectaron a las administraciones regionales o locales, que en 2021 sufrían el triple de ataques que en 2016 (39.483 por 11.991), según datos del Ministerio de Defensa, que reflejan que el peor momento para estos organismos fue la pandemia (43.091 incidentes en 2020) .

Andalucía acumula el mayor número de ciberataques en sus administraciones en los últimos seis años: 53.364. Le siguen la Comunidad Valenciana (25.451) y Madrid (20.514). A la cola se encuentran Cantabria, Melilla, Ceuta y Navarra. Marcos Gómez, subdirector de servicios del Instituto Nacional de Ciberseguridad, explica la diferencia entre regiones: “Donde se detecta mayor actividad delictiva cibernética es dónde hay más personas que se conectan a Internet. Aunque haya regiones más grandes, hay más dispersión de población y no hay tantos nodos de conexión”.

Problemas para empresas y particulares

La empresa de Marta está en Madrid, una de las regiones más castigadas por los ciberdelincuentes. La ofensiva empezó con un correo electrónico que recibieron los empleados de la compañía en el que el hacker se hacía pasar por su director, encargándoles una tarea habitual: “Revisa este Excel, por favor”. De los 400 trabajadores, solo tres cayeron en la trampa. Se descargaron el documento y el virus empezó a propagarse por la red. Era marzo de 2020. “Aprovecharon que estábamos todos teletrabajando desde casa. Si estás en la oficina, el firewall [el cortafuegos digital que bloquea el acceso no autorizado] hace de paraguas, pero cuando estás en casa conectado a una red privada tienes muchos más puntos inseguros”.

La empresa cortó la conexión con el exterior para evitar que les secuestraran los servidores. “Se dieron cuenta de que les habíamos pillado”, rememora la empleada. En ese momento empezaron a llamar a la oficina, donde solo estaban Marta y su equipo, desde un número oculto. “Hablaba en inglés y se notaba que leía un papel. Me decía que si no pagábamos publicaría los datos”, recuerda. Los ciberdelincuentes no tuvieron tiempo de encriptar los servidores porque el Centro Criptológico Nacional los monitorizó. Sí robaron información, aunque no la podían relacionar: “Tenían todos los datos, pero no sabían a quién correspondían porque necesitaban las credenciales”. La empresa se quedó completamente parada varias semanas hasta que recuperaron el sistema.

Gómez explica las consecuencias del ransomware, o secuestro de datos: “Es el virus informático más dañino porque impide la prestación de un servicio y la continuidad de un negocio porque te impide conectarte a internet o acceder a tus datos”. Entre las tipologías más habituales señala también el fraude informático (phishing) a sistemas vulnerables: “Los cibercriminales buscan sistemas que no estén bien protegidos ni actualizados”. Y recuerda la importancia de no picar en los ganchos, que suelen ser temas de interés variopintos: “Por ejemplo, el coronavirus, la guerra en Ucrania o incluso la muerte de Jesús Mariñas”.

Cargos no autorizados

Porque la amenaza no se centra únicamente en compañías, ni mucho menos. Por ejemplo, mantiene en alerta a ciudadanos como Virginia Aguado (Palma de Mallorca, 48 años), que ha sufrido cuatro ciberataques en dos años: “Estaba a la espera de un paquete y recibí un mensaje de Correos con un logotipo muy parecido al original. Cinco minutos después de abrir el enlace tenía 27 cargos de entre 15 y 25 euros en tiendas con nombres rarísimos”.

Los siguientes fueron similares: un cargo de 90 euros por dos pedidos a través de una aplicación de comida a domicilio, otro de 14 euros en Google Play y, el último, la usurpación de su cuenta de Netflix. “Contrataron la tarifa más cara hasta que me di cuenta. He perdido todo mi historial y lo que sale ahora es que he estado viendo Bob Esponja y una telenovela coreana de amor”, cuenta desconcertada tras haber recuperado la suscripción.

“El objetivo más directo suele ser la ciudadanía y las pequeñas y medianas empresas porque no tienen el mismo nivel de cultura en ciberseguridad que una gran compañía o un profesional”, explica Gómez, subdirector de servicios del Instituto Nacional de Ciberseguridad. Y añade que es un problema cada vez más frecuente: “Cualquiera está expuesto a un ciberataque y los códigos maliciosos cada vez son más sofisticados”.

Ante el aumento de las amenazas, el Gobierno anunció en marzo el Plan de Choque de Ciberseguridad, dotado con más de 1.000 millones de euros, con nuevas medidas sobre el sector público y las entidades que le suministran tecnologías y servicios. Entre ellas, la implantación del Centro de Operación de Ciberseguridad de la Administración General del Estado para mejorar la vigilancia y detectar amenazas en las operaciones diarias en los sistemas de información y comunicaciones, y el refuerzo de la seguridad de las nuevas redes de comunicaciones electrónicas 5G.