Así funciona la ciberdelincuencia, el negocio ilícito más lucrativo

De: elmundo.es (click en la imagen para redireccionar la nota).

 

No por ser una amenaza silenciosa resulta menos dañina. Los hábitos de vida se trasladan al ciberespacio; es el paradigma de la transformación digital. Pero este cambio implica nuevos retos. La ciberdelincuencia está hoy más activa que nunca, los ataques informáticos y el fraude económico a través de la tecnología alcanzan un grado de sofisticación hasta ahora inimaginable. El resultado es que las actividades ilícitas a través de internet pueden llegar a alcanzar un impacto económico de un billón de euros al año en el mundo, según estimaciones del Instituto Nacional de Ciberseguridad (Incibe) o, lo que es lo mismo, el equivalente al PIB de un país como España. Fuentes policiales aseguran que esta actividad supera al narcotráfico en lucro. En cambio, las inversiones en ciberseguridad en el planeta se estima que alcanzan los 70.000 millones de euros.

 

En las últimas semanas ha quedado claro que nadie está exento de sufrir un ataque. El caso más llamativo es, quizá, la divulgación de un informe de inteligencia sobre la injerencia de Rusia en las elecciones de Estados Unidos a través de ataques informáticos para desprestigiar a Hillary Clinton. Las entidades financieras son víctimas recurrentes. A través de software malicioso, un grupo de ciberdelincuentes atacó remotamente cajeros de más de una docena de países de Europa a lo largo de 2016 para expedir dinero en efectivo que pudo llegar a superar los 10 millones de euros. En noviembre, piratas informáticos suplantaron la web corporativa de la constructora francesa Vinci y publicaron una nota de prensa falsa que se distribuyó a medios de comunicación. La consecuencia fue el desplome del 18% de la acción, equivalente a 7.000 millones de euros. Y estos son sólo algunos ejemplos.

 

El Estado cuenta con un organigrama de instituciones públicas en materia de ciberdefensa. Está formado por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), el Centro Criptológico Nacional, dependiente del CNI, el Incibe y el Mando Conjunto de Ciberdefensa (MCCD), éste último perteneciente al Ministerio de Defensa.

 

"En la reunión de la OTAN en Varsovia en julio se formalizó el reconocimiento del ciberespacio como un nuevo dominio para las operaciones militares, exactamente igual que el terrestre, el marítimo, el aéreo y el espacial", comenta el general Carlos Gómez, comandante jefe del MCCD.

 

Los ámbitos de actuación de este Mando consisten en controlar los sistemas del Ministerio de Defensa -"las fuerzas armadas son ciberdependientes, tenemos sistemas de armas muy eficientes y precisos, pero todos ellos necesitan estar interconectados", asegura el general Gómez- así como proteger los sistemas de infraestructuras críticas y servicios esenciales que se les asignen a partir del catálogo del CNPIC y, si llega el caso, llevar a cabo acciones ofensivas en el ciberespacio.

 

A pesar de que en los últimos años la partida a Defensa de los Presupuestos Generales del Estado se ha ido reduciendo, la creación del MCCD y su puesta en marcha recibe una inversión mayor en cada ejercicio. "El presupuesto ha ido en aumento y lo seguirá haciendo porque nuestras capacidades son cada vez mayores y eso requiere inversión económica", explica el comandante jefe, quien prefiere no decir el volumen económico de este gasto. Cuando se puso en marcha en 2013 el MCCD, se asignó un presupuesto inicial de 4,8 millones de euros a repartir entre 2014 y 2015.

 

La mayoría de los ataques directos que sufre el Ministerio de Defensa tiene como finalidad recabar información, pero desde el MCCD se asegura que ninguno de ellos ha tenido un efecto rebote. "Se trata de minimizar el área de exposición. Un sistema que maneja información operativa importante no está conectado a internet, que es un área de exposición enorme", asegura el general Gómez.

 

Doble de incidentes de ciberseguridad

 

En el ámbito civil, en cambio, la ciberdelincuencia parece campar a sus anchas. Incibe había gestionado 100.000 incidentes de ciberseguridad en los 10 primeros meses de 2016, un 100% más que en todo 2015 (50.000 incidentes), y cinco veces más que en 2014 (18.000). «Este incremento se debe a tres factores. Contamos con mejores capacidades de detección, ocurren más casos, y, por último, los afectados son cada vez más conscientes y lo comunican», explica Alberto Hernández, director general de Incibe.

 

En la última Memoria de la Fiscalía General del Estado en 2015 se incoaron 22.575 procedimientos judiciales sobre delitos informáticos. El 80,6% de estos procedimientos (18.201) tiene que ver con estafas cometidas a través de las tecnologías de la información. "Estos delitos son los que más se denuncian porque afectan a particulares. Nos podemos encontrar con 40 ó 50 perjudicados con sus respectivas denuncias de un solo hecho delictivo y nosotros intentamos unificar en un único procedimiento, a través de expedientes de coordinación", comenta Elvira Tejada de la Fuente, fiscal de la Sala Coordinadora en materia de Criminalidad Informática. La tipología de las estafas tiene que ver con la suplantación de identidad (phishing), transferencias bancarias no consentidas, ventas fraudulentas, estafas con comunicaciones y servicios premium, entre otras muchas.

 

Suelen ser estafas de pequeñas cantidades, no más de 400 euros, que es el límite entre delitos leves y graves. "Esto hace que muchos crímenes se archiven. Nuestro trabajo consiste en recopilar información para que un caso tenga una entidad grave y poder llevar a cabo diligencias de investigación como intervenir un ordenador y las comunicaciones, realizar una invasión de la intimidad del sospechoso o precisar información a nivel internacional", comenta Elvira Tejada.

 

El grueso de las imputaciones y detenciones de 2015 por cibercriminalidad en España recayó sobre ciudadanos españoles (el 86% de los 4.667 responsables). El 45% de los imputados (2.397) tiene una horquilla de edad de entre 26 y 40 años. Esto se debe a que resulta más fácil detener a ciudadanos españoles en casos de fraude que a bandas organizadas a nivel internacional que lanzan ataques desde paraísos informáticos.

 

Cooperación internacional

 

"Los daños informáticos [software malicioso bancario, encriptación de archivos y rescate, etcétera] son más difíciles de investigar porque son ataques que provienen del extranjero y ahí es donde se produce una cifra negra alta [casos que no se denuncian] por desconocimiento de la víctima o porque no se quiere publicitar. Si el fraude se realiza dentro del país se puede investigar mejor, aunque existen mecanismos de cooperación a nivel internacional", argumenta la fiscal Tejada.

 

A pesar de las dificultades, en febrero de 2016 la justicia española dictó sentencia sobre el caso del conocido como virus de la policía, un fraude a través de ransomware -software malicioso que encripta archivos de un sistema y pide un rescate para quitar dicha restricción, en este caso de 100 euros-, que se popularizó en 2012 infectando a millones de ordenadores de todo el mundo. Se consiguió la extraditación del autor principal, Alexander Krasnokutsky, a nuestro país, condenándolo a seis años de prisión, y al resto de integrantes de la banda a penas de entre seis meses y tres años de cárcel. Entre las investigaciones en curso por parte de la fiscalía se encuentra el caso del robo de números de tarjetas de una entidad bancarias que supuso un prejuicio de dos millones de euros. Estos números se podían adquirir a través de la red de anonimato Tor por entre 200 y 300 euros.

 

La principal alerta en ciberdelito proviene del grado de profesionalización y complejidad en las técnicas usadas. Según fuentes de la Brigada Central de Seguridad Informática de la Policía hay tres modalidades de delitos que hoy día generan mayor prejuicio a la sociedad. En primer lugar se encuentra el ya comentado ransomware o criptoware. Es un ataque indiscriminado, pero en el caso de que el afectado sea un ciudadano cualquiera el rescate puede situarse entre 100 y 600 euros, mientras que si el delincuente detecta que se trata de una empresa, se solicita un rescate mucho más alto. La modalidad de pago ahora se suele realizar a través de la moneda virtual bitcoin. "Para ello la nota que aparece en el equipo bloqueado se acompaña de un tutorial sobre la forma de comprar esta moneda", dicen estas fuentes. Las grandes empresas tienen políticas de copias de seguridad que hacen difícil que este delito prospere, pero en el caso de las pymes el daño de no poder acceder a los datos puede llegar a ser traumático. "En 2016 ha habido más de 1.700 casos de ransomware. Si se hubieran pagado todos los rescates el grupo criminal habría ingresado 740.000 euros", asegura el director general de Incibe.

 

Fraude del CEO

 

El llamado fraude del CEO de empresa es un delito específicamente dirigidos a compañías. Se puede realizar por dos vías. Por un lado el atacante accede al correo del directivo a través de phishing y una vez dentro busca acuerdos comerciales con otros proveedores para que en un momento de la transacción se solicite el pago en otra cuenta que es la del propio delincuente. Otra modalidad incide en un trabajo de investigación a través de las fuentes abiertas (internet, LinkedIn) mandando un correo en un momento determinado para suplantar la identidad del departamento de compras. "El dinero que se puede conseguir depende mucho de las operaciones en curso de la compañía. El fraude más grande en España del que se tenga constancia es de 600.000 euros", asegura la Policía. Las bandas más activas en este tipo de delito proceden de Nigeria.

 

 

Tanto en ransomware como en el correo del CEO tiene una relevancia fundamental la llamada ingeniería social, que consiste en conseguir que un usuario actúe de una determinada manera teniendo en cuenta la vulnerabilidad humana. "Los criminales se aprovechan de que la curiosidad mató al gato; el factor humano es el eslabón más débil", comentan fuentes de la Unidad Técnica de Policía Judicial (UTPJ) de la Guardia Civil.

 

El malware bancario (software que se instala para robar datos financieros o de tarjetas para realizar operaciones) tiene como objetivo tanto entidades financieras como usuarios. En malware bancario y en ransomware hay todo un mercado profesional. Es el denominado crime as a service, en el que programadores se publicitan a través de la dark net (red cifrada y que preserva el anonimato) para ofrecer sus servicios a organizaciones criminales con el fin de llevar a cabo este tipo de campañas delictivas. Incluso se llega a ofertar servicios de pago por instalación (pay per install). La procedencia de estos programadores, según fuentes policiales, son básicamente de países del Este de Europa.

 

"Las estructuras de estas bandas no suelen ser tan jerarquizadas como las tradicionales, hay una mayor especialización de los miembros basada en asignaciones concretas. Los delincuentes piensan como empresas y el cibercrimen les resulta atractivo por el enorme beneficio que obtienen con poca inversión", aseguran desde la UTPJ. El interés cada vez mayor de los criminales hacia este lucrativo negocio deja entrever que la batalla no ha hecho más que empezar.


Escribir comentario

Comentarios: 0