Vivimos bajo ataques informáticos en cadena. No solo son víctimas nuestros ordenadores, sino también las instituciones. Las últimas en caer han sido la Agencia Tributaria o la CNMC. Pero vendrán otras. Joaquín Castellón fue director operativo del departamento de Seguridad Nacional de la Presidencia del Gobierno y en la actualidad es director de seguridad y defensa de Izertis, consultora tecnológica multinacional que se especializa en la transformación digital de organizaciones.
“La mayor parte de las denuncias no llegan a la fase procesal porque es difícil aportar pruebas”
¿Por qué aumentan los ciberataques? ¿No somos capaces de pararlos?
Todas las actividades delictivas han ido al ciberespacio. Lo que antes eran delitos físicos, ahora son ciberdelitos. Primer problema, las personas dependemos mucho del ciberespacio, porque allí gestionamos desde la cuenta bancaria hasta nuestros amigos. Segundo, es un lugar donde no hay fronteras, con lo que es difícil someterlo a una legislación nacional. Y tercero, es complicado identificar el origen de las acciones delictivas, lo que se llama la trazabilidad. Las organizaciones criminales se han dado cuenta de que el beneficio que pueden obtener cometiendo delitos en el ciberespacio es grande, y los riesgos, pocos. Antes asaltabas tiendas físicas, te jugabas el pellejo y al final podrías no llevarte nada.
¿No sirve de nada denunciar?
El número de denuncias que se presentan es mucho mayor de las que al final acaban en un procedimiento judicial, entre otras cosas porque hay que tener algunos indicios y aportar suficientes datos en la comisaría para abrir un expediente. Si voy a la policía y digo ‘mire, que es que he visto a alguien robando un coche’. Te preguntarán ‘pero qué coche es; en qué calle estaba.’ Y a menudo, con los ciberdelitos, no puedes facilitar nada debido a la falta de trazabilidad de la acción criminal. Luego hay un tema de cantidad: cualquier empresa casi diariamente tiene incidencias, muchas de ellas pequeñas. Por ejemplo, a ti te habrán llegado montones de SMS fraudulentos de entidades de las que no eres cliente. El volumen que hay es tan grande que estaríamos todos los días en la comisaría poniendo denuncias, ¿no?
Pero tampoco tiene que ser tan fácil ser un ciberdelincuente. Se necesitan habilidades y competencias.
Ya no hace falta ser un gran técnico, porque todo lo puedes comprar. Allí en la dark web , por ejemplo, puedes pedir que te clonen la página web de una compañía por 10.000 dólares.
¿Quién hay detrás de los hackers?
Hay grupos muy potentes que son como una multinacional. Tienen sus departamentos de recursos humanos, de captación del talento, funcionan como una empresa normal, porque a lo mejor los beneficios que tienen son cientos de millones en un año. Crean unos malware que utilizan ellos o los venden a terceros como un servicio. Cualquiera que tenga el propósito de delinquir, pues encuentra herramientas para hacerlo. Es lo que ocurre con el robo de contraseña mediante el phishing , estos correos que te mandan a una página web para que introduzcas tus datos. Estas contraseñas luego se venden en la web. Por 20 euro, puedes conseguir la de una persona o de una empresa.
¿Cómo se infecta un sistema?
Hay dos formas más comunes de entrar. Una es a través de este robo de credenciales. Mediante estos correos falsos que te reenvían a una página web. Clicas y ya te mandan un virus. Como alternativa, se busca la colaboración de alguien de dentro que introduzca una contraseña y se abra la puerta. La segunda es aprovechar las vulnerabilidades que tienen los programas. Si una empresa no actualiza su sistema informático, otra puerta se puede abrir. Normalmente a través de ese malware inicial, los ciberdelincuentes se comunican con otra plataforma de fuera y se descargan otro malware . Son movimientos laterales. Una vez estás dentro de un ordenador de la víctima, la infección se va moviendo dentro de la compañía para ir encontrando gente que tenga permisos de administrador y poder acceder a todo el sistema.
¿Y una vez que se llega al núcleo?
Lo habitual es que los criminales seleccionan unos archivos, se extraen (se roban) y se cifran. Es una doble extorsión. También se puede causar denegación del servicio. Por ejemplo, la página web de La Vanguardia está pensada para recibir, digamos, 10.000 visitas por minuto. Si yo a la página web de La Vanguardia le mando 100.000 solicitudes, la bloqueo, la tumbo, porque no está preparada para recibir todo ese volumen de información.
¿El cibercriminal necesita criptodivisas para delinquir y pedir rescates?
La tecnología va muy por delante de la regulación. Blanquear una cantidad de dinero de una forma tradicional se ha vuelto más difícil. El bitcoin sí que te permite seguir blanqueando dinero de una forma mucho más anónima que con el modo tradicional.
Ahora se asaltan no solo a las empresas, sino a instituciones.
Los países se espían todos desde el principio de la historia. Pero ya no tienes a James Bond, y el espía es todo menos glamuroso. Miremos el caso de Ucrania. Antes de que empezara el conflicto, Kyiv migró sus servicios esenciales del Estado a las nubes de las multinacionales norteamericanas. Y eso les ha permitido un poco seguir manteniendo el funcionamiento del país. Todas las fuerzas armadas del mundo tienen ya un cuerpo o una fuerza ciberinformática lista para intervenir.
¿Para hacer una guerra paralela?
Híbrida. Antes, los dominios tradicionales eran el mar, el aire, la tierra, el espacio, y ahora hay un dominio nuevo que es el ciberespacio. A mí me va a ser más fácil en vez de mandarte dos aviones y bombardearte una fábrica intentar dejarla que sea improductiva a raíz de un ciberataque. Me va a salir más barato, me voy a arriesgar menos y encima, si quiero, nunca van a tener la seguridad de que he sido yo el que lo ha hecho. Es el crimen perfecto. Es un chollo. En la película Top Gun 2 (2022), Tom Cruise tiene que destruir una instalación de enriquecimiento de uranio en territorio enemigo con cazas. Es absurdo. En la vida real, se llegó a desactivar una central nuclear de uranio en Irán gracias a un USB.
¿Pueden los ciberdelincuentes influir en procesos electorales?
En una época estaba en el Departamento de Seguridad Nacional y a Rusia le interesaba que el problema catalán pudiera desestabilizar la Unión Europea. Hubo un momento en que Julian Assange publicaba de forma compulsiva tuits sobre Catalunya... Los estados hacen guerra híbrida por intereses nacionales, y los activistas pueden seguir alguna causa ecológica, política...
¿Nos podemos proteger?
Siempre es más sencillo hacer el mal que el bien. Pero la tecnología se tiene que poder defender de la tecnología. Pasa un poco lo del escudo y la lanza. Si hay una lanza, se hace un escudo; si hay un escudo, se hace una lanza mejor que traspase el escudo...Y también hay que protegerse con la educación. En España, lo que más ha cambiado es la seguridad vial, de una generación a otra, un cambio de cultura bestial. Con la sociedad digital debe ocurrir lo mismo.
¿Con la IA es más fácil cometer delitos?
Uno de los problemas que tiene la ciberseguridad es que falta encontrar profesionales. Ahora, normalmente casi ninguna empresa, salvo corporaciones muy grandes, tienen suficiente fuerza laboral formada y capacitada para hacer frente a estos problemas. Puede que la inteligencia artificial nos ayude a defendernos. Igual que el antivirus del ordenador de tu casa, pues, en el futuro podría haber un antivirus que detecte videos falsos o deepfake .
