Si usted fuera inversor, seguro que buscaría negocios con algunas características estratégicas, como el potencial de crecimiento, la capacidad de internacionalización, las bajas barreras de entrada y el alto rendimiento, ¿verdad? Pues hay una industria que puede presumir de todo eso sin despeinarse, el único problema es que tendrá que olvidarse de su ética, ya que hablamos la ciberdelincuencia. “Es un negocio que está cada vez más estructurado y profesionalizado y que ya genera más dinero que el narcotráfico”, confirmó el socio ciberseguridad de NTT Data Miguel Ángel Thomas durante el Foro Ciberseguridad organizado por Retina con el impulso de Banco Santander, su compañía como socio anual y el patrocinio de BeDisruptive.

Mientras las empresas del lado bueno de la economía han diversificado sus negocios convirtiéndolo todo en un servicio, desde el software y los pagos hasta las plataformas y la inteligencia artificial (IA), los hackers han hecho lo mismo con el suyo, dando lugar a lo que ya se conoce oficialmente como cybercrime as a service (CaaS). “Este modelo empresarial de delincuencia como servicio impulsa la innovación y la sofisticación, y proporciona acceso a una amplia gama de servicios que facilitan casi cualquier tipo de ciberdelincuencia”, detallaba Europol cuando acuñó el término allá por 2014.

Dejando de lado los escrúpulos, ¿quién no querría apostar por un sector cuyas cifras de volumen de actividad, beneficios y tipos de servicios no han dejado de crecer desde que hay registros? “Las organizaciones criminales trabajan como empresas, pero su alta rentabilidad les permite invertir en mejores tecnologías. A veces van mucho más por delante de lo que podemos imaginar”, alertó el inspector jefe de Policía Nacional, Diego Alejandro Palomino. Es lo bueno de no tener que pagar impuestos, hacer cuentas trimestrales ni, básicamente, someterse a ninguna ley. Si los mafiosos pueden organizarse, ¿por qué los hackers no?

Una llega a preguntarse si los miembros de bandas organizadas como Conti tendrán su propio sindicato, sus pagas extra y sus responsables de cultura corporativa y formación. Los distintos tipos de ciberataques, las diversas formas para perpetrarlos y las vías para lucrarse con ellos se han diversificado y profesionalizado tanto que ya conforman su propia “Cadena de Valor Cibercriminal”, según un informe publicado en la revista de la Escuela de Inteligencia de Negocio y Relaciones Internacionales (SEI) de la Universidad Autónoma de Madrid.

Así es como hemos llegado a una situación en la que la industria de la ciberdelincuencia se alzaría como la tercera economía del mundo por detrás de EEUU y China, y que se calcula ya en 2007 era capaz de lanzar 39 ataques por segundo. Por supuesto, toda cifra asociada al ámbito de la ciberdelincuencia debe ser cogida con pinzas. Al fin al cabo, no hablamos de un sector que tenga por costumbre comunicar sus resultados anuales. Y, por si fuera poco, la cultura del silencio ha imperado durante años entre las empresas víctimas por miedo a sufrir una crisis de imagen pública al revelar sus incidentes.

En este sentido, el director del Departamento de Seguridad Nacional, Miguel Ángel Ballesteros, advirtió: “El daño reputacional está ahí, pero me preocupa muchísimo más el robo de información. Por muy llamativo que resulte ver bloqueada la web de un Ministerio, lo grave es que entren dentro, se pasen meses allí sacando datos sensibles y luego los encripten para hacerte chantaje, los vendan o incluso vendan la forma de acceder al sistema”. ¿Todavía le quedan dudas de lo bien organizado que está el sector de la ciberdelincuencia?

La buena noticia es que en España “todas las empresas importantes ya son conscientes de que las crisis de ciberseguridad ocurren, así que la sensibilidad está creciendo cada vez más deprisa”, celebró el presidente de la Fundación ESYS Carlos López. De hecho, todos los expertos congregados en el Foro de Ciberseguridad de Retina abogaron por la cooperación entre entidades como una de las mejores estrategias defensivas contra los hackers. “No hay que tener miedo de compartir información”, sentenció la CISO global de Abertis, Olga Forné.

TODOS CONTRA UNO

Por muchas líneas que los líderes mundiales dibujen sobre los mapas para delimitar sus territorios, Internet es un mundo sin fronteras en el que “la defensa colectiva es cada vez más necesaria”, confirmó la Global Head of Cyber External Engagement de Santander, Marina Nogales. Y añadió: “Si desarrollamos alguna estrategia o producto de ciberseguridad que funciona queremos compartirlo con empresas menos maduras de nuestra cadena de suministro para defender todo el ecosistema. Incluso compartimos información con competidores directos”.

El objetivo de esta cooperación es doble, y el primero consiste en proteger al eslabón más débil. En lugar de dirigirse a las grandes entidades, con muchas más capacidades de ciberdefensa, “los hackers buscan una gran debilidad en la cadena de suministro” y la utilizan para trepar hasta los botines más jugosos, explicó el director de INCIBE, Félix Barrio. Y detalló: “Entrando por un actor pequeño consiguen mucho con poco esfuerzo”. O, como resumió Nogales: “Si atacan a tu proveedor tú puedes ser el siguiente, por eso hay que proteger la cadena entera”.

Para dejar claro que los actores pequeños suelen ser los más vulnerables, Barrio explicó que la mayor parte de las llamadas al 017, la línea de atención gratuita de ciberseguridad que gestiona el INCIBE, proceden del “pequeño comercio y la pequeña industria». Y la cosa se repite en el sector público. Según Ballesteros, de los 75 incidentes críticos, esos que “producen un daño tremendo”, registrados por el Centro Criptológico Nacional en 2022, 42 tuvieron lugar en administraciones locales, frente a los 24 de las autonómicas y los 9 de la administración central. “Las cifras del año pasado nos dicen que el agujero está en los ayuntamientos”, sentenció el directivo.

Además de proteger a los más débiles, el segundo objetivo de la cooperación en ciberseguridad consiste en mejorar la eficiencia y la sofisticación de las medidas defensivas a nivel transversal. Forné detalló: “Las alianzas con proveedores y fabricantes nos simplifican la vida. Poder tomar ideas de las lecciones aprendidas por otros puede evitarnos meses de trabajo en desarrollos propios”. Por su parte, Nogales dijo: “Simplificar los intercambios de información nos ayuda a ir un paso por delante a la hora de atrapar a los malos”.

Esto se vuelve especialmente importante si tenemos en cuenta que cada vez es menos necesario disponer de una sofisticada estructura organizativa y técnica para convertirse en un prolífico ciberdelincuente. “Cualquier chaval con unos mínimos conocimientos puede sacar 150.000 euros en un fin de semana sin salir de casa. Ya no necesitan trabajar para perpetrar una estafa multitudinaria”, añadió la capitán de la Guardia Civil y jefa de proyectos TIC-IA y del Departamento de Fondos Europeos de la Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad, Rosalía Machín

Eso es lo que ha traído la proliferación de herramientas tecnológicas cada vez más sencillas, como la hiperautomatización, los métodos de programación low- y no-code, y las IA generativas. Mientras los ciudadanos de a pie nos entrenemos con la imagen más tonta creada por Midjourney o el diálogo más tonto con ChatGPT, estos mismos avances ya están siendo analizados y explotados por los miembros del lado oscuro de Internet, cual departamento de innovación dedicado maximizar sus beneficios y reducir sus costes operativos.

Aunque Thomas consideró que estas tecnologías serán “de gran ayuda” en el lado defensivo, recordó que “los malos también las tienen”. Y es que ni siquiera hace falta un fragmento de código ultrasofisticado como el software de espionaje Pegasus para cometer un ciberdelito. “Adivina quién te escribe desde el extranjero”. “Hola mamá, mi otro teléfono está roto”. En el último año, estas dos frases se han convertido en una pesadilla para muchos españoles, dado que ambas buscan lo mismo: estafar a usuarios incautos a través de WhatsApp, ya sea para obtener sus datos personales o para que transfieran dinero a las cuentas de los estafadores.

“No os hacéis una idea de la cantidad de estafas que se comenten actualmente, tanto a particulares como a empresas. Nos están machacando”, advirtió la responsable de Delitos Estratégicos de la Ertzaina en la Demarcación del Duranguesado, Elsa Vicario. Espere, ¿qué? ¿Una estafa de WhatsApp más burda que el timo de la estampita se considera un incidente informático? “Hay delitos que no son netamente tecnológicos, pero los delincuentes se nutren de la tecnología para cometerlos. Prácticamente cualquier delito actual hace algún tipo de uso de las tecnologías de la información”, matizó Palomino.

CIBERDEFENSA ‘MADE IN SPAIN’

Esta es la consecuencia de que el mundo físico y el digital se hayan fusionado hasta el extremo. Por eso, López sentenció: “Tenemos que dejar de distinguir entre seguridad y ciberseguridad. La seguridad en el siglo XXI es una mezcla de las dos”. Eso sí, que ya no haya fronteras entre el mundo físico y el digital, ni que tampoco existan dentro de este no significa que la nacionalidad de la ciberseguridad se vuelva baladí. ¿O acaso no se acuerda de cómo la empresa de antivirus rusa Kaspersky fue señalada por su potencial de espionaje cuando Rusia invadió Ucrania hace ya más de un año?

Algo parecido está pasando ahora con la red social de origen chino TikTok. “Está claro que TikTok representa un riesgo de seguridad nacional inaceptable debido a que su extensa recopilación de datos se combina con el acceso aparentemente sin control de Beijing [China] a datos confidenciales”, advirtió hace poco el miembro de la Comisión Federal de Comunicaciones Brendan Carr. Son este tipo de ejemplos los que ponen de manifiesto la importancia de que mejoremos nuestra “soberanía sobre estos productos y servicios”, explicó el CEO de Cybertix y emprendedor en serie en ciberseguridad, Xabier Mitxelena.

“El Ministerio de Defensa ya recomienda utilizar productos de ciberseguridad europeos para fomentar la soberanía digital industrial”, confirmó el general y comandante del Mando Conjunto del Ciberespacio, Rafael García. La buena notica es que, en su opinión, “no tenemos que mirar siempre hacia afuera porque nuestra propia industria nos da muchos productos” y añadió: “Vamos por el buen camino”. Así lo demuestra el hecho de que, en solo cinco años la industria española de la ciberseguridad haya pasado de estar por detrás de países como Hungría a convertirse en el segundo miembro de la UE en cuanto a madurez y cuarto a nivel mundial, según el último Índice Global de Ciberseguridad de la Unión Internacional de las Telecomunicaciones.

“Todo lo que viene de España a nivel de ciberseguridad goza de buena salud, y nuestro know-how ya se está exportando a mercados Centroamérica, Latinoamérica e incluso dentro de la propia Europa. Tenemos la suerte de ser un sector que goza de una buena salud financiera y puede generar un buen ecosistema laboral”, celebró el fundador y CEO de la boutique tecnológica de ciberseguridad española BeDisruptive, Jose Ángel Delgado. Y aunque todos los expertos alertaron de que la demanda de talento es cada vez mayor, García añadió: “Tenemos que mirar menos al exterior y empezar a creer en nuestras empresas para darles mercado nacional e internacional. Nosotros ya trabajamos con ellas, no hace falta irse al extranjero”.

El resultado es que, por muy sofisticada que se haya vuelto la industria de la ciberdelincuencia, los avances de España en el lado bueno del espectro digital no han dejado de sucederse. Y a medida que las empresas se vuelven cada vez más conscientes de que, como dijo Mitxelena, “la ciberseguridad es una inversión y no un coste”, aumentan nuestras probabilidades de crear una industria que no solo sea capaz de hacer frente a los malos, sino que también se convierta en uno de nuestros ejes principales de crecimiento económico y bienestar. Y eso sí que es organización y profesionalidad, y no lo de la mafia.