Actualmente, el perfil del “delincuente clásico” ha evolucionado hacia una nueva figura: el ciberdelincuente. Se trata de un criminal que, aprovechándose de las características de Internet comete delitos cada vez de forma más sofisticada o compleja, escudándose en un “relativo” anonimato. La protección frente a las ciber amenazas y el fomento de la seguridad se erigen como factores fundamentales para el desarrollo de la economía de Internet y evitar el ataque de estos nuevos delincuentes.
Aunque la tendencia a invertir en ciberseguridad es generalmente cada vez mayor, la encuesta mundial que realiza PWC sobre el estado de la seguridad de la información, revela que casi la mitad de los encuestados dejará, paradójicamente, de invertir en ella este año, a pesar del incremento de los ciber ataques.
Inversión en tecnología y ciberseguridad: no es un gasto prescindible, sino una inversión necesaria .
Esto sucede, en momentos de crisis económica, cuando se considera la inversión en tecnología y ciberseguridad como un gasto en vez de una inversión, lo que hará que se incrementen exponencialmente las vulnerabilidades de las empresas.
Los ciberataques más mediáticos o llamativos pueden ser los que se cometen contra grandes multinacionales, pero a la vez son las que están más preparadas. Sin embargo, las PYMES, mayoritarias en España, con unas medidas de seguridad, en general, muy laxas, o inexistentes, son el objetivo ideal y fácil para los ciberdelincuentes.
Solo en el mes de mayo, se detuvieron a ciberdelicuentes que estafaron más de 3 millones y medio de euros.
En mayo de este año, la Policía Nacional detuvo a 11 ciberdelincuentes que, presuntamente, habrían estafado más de 3.600.000 euros a empresas y particulares. Estos realizaban fraudes a través de las nuevas tecnologías valiéndose de métodos de ingeniería social. Utilizaban técnicas de phishing y la conocida como “estafa del CEO”, que consiste en engañar a un empleado con acceso a recursos financieros de una empresa mediante un email que simula ser de su jefe -CEO, o director-, en el que se exige realizar una supuesta operación financiera confidencial y urgente, que sin embargo tiene por destinatario a los timadores.
Una de las últimas víctimas de este fraude fue la farmacéutica gallega Zendal. Sólo hicieron falta algunos correos electrónicos y 20 transferencias para que 9,7 millones propiedad del laboratorio que fabrica la vacuna del COVID en Galicia volasen hacia un destino desconocido. En nuestro país no es un caso aislado, en 2019 fue la empresa municipal de transportes de Valencia. A través de este fraude, se enviaron más de 4 millones de euros a una cuenta en Hong Kong.
Aunque no se registra este fraude específicamente en las estadísticas de criminalidad del Ministerio del Interior, sí que se recoge el tipo penal, que en función de los hechos podría procesarse como «estafa» o como «fraude informático», cuya incidencia se ha doblado desde 2016 (45.864 infracciones procesadas en 2019, por las 88.760 de 2018).
Sin embargo, en EEUU el FBI sí que registra informes especiales sobre el “timo del CEO”, registrando su primera alerta sobre él en 2017. Entonces se cuantificaba en 5.000 millones de dólares el dinero estafado a las empresas con este método. En 2018 se revisó la situación, estimando las pérdidas en 12.000 millones. La última actualización fue en septiembre de 2019, aproximándose a los 26.000 millones.
La encuesta sobre el Estado de la Seguridad de la Información antes mencionada ha dejado datos impactantes, como que, de media, las empresas españolas son forzadas a parar su actividad productiva unas 17 horas al año por ataques informáticos, o incluso que casi la mitad de los directivos encuestados reconocieron que sus empresas carecían de una estrategia integral de seguridad. Como revela el informe, la aceleración de los planes de digitalización de las compañías y la generalización del teletrabajo provocado por el COVID-19, ha traído como consecuencias el aumento de las brechas de seguridad.
El 47% de los ciberataques tiene su origen en los propios empleados de la entidad: la formación en ciberseguridad es la clave para minimizar riesgos.
Resulta chocante, que la mayor parte de las veces, las fugas de información se produzcan accidentalmente por los propios trabajadores de la compañía, siendo evitables. En España, el 47% de los ciberataques en las empresas, son causadas u originadas por empleados o exempleados. Y una proporción algo menor -del 40,7%-, por proveedores. En cuanto a aquellos de origen externo, el 28,2% son realizados por competidores y el 25,4% por organizaciones criminales.
El riesgo de dejar de invertir en ciberseguridad conlleva cuantiosas pérdidas, tanto a nivel económico como reputacional. El informe del CSIS-McAfee del año 2018 estimó que este tipo de delincuencia tenía un coste a nivel mundial de un billón de dólares, lo que representaba aproximadamente el 0,7% de los ingresos mundiales. La estimación que realizaron para el año 2019 fue de 800.000 millones de dólares y un 0,8% del PIB Mundial, y la tendencia que se espera es creciente.
Ello hace que invertir en concienciación y formación en ciberseguridad sea la forma más económica y eficiente de prevenir las pérdidas de información y mantener la integridad e imagen de la empresa seguras.
Con los datos aportados, ¿no merece la pena?
