Es probable que en
2021 se sobrepasen los
250.000 delitos informáticos en España, una ciberdelincuencia que es un
“negocio muy próspero” que
crece cada año de
forma exponencial, la forma de vida de miles de jóvenes que incluso llegan a t
ener un contrato y hasta pagas extra, que mueve
más dinero que la droga o el tráfico de armas y que cuentan hasta con
organizaciones perfectamente estructuradas, hasta con su propia área de call center, aunque lo que más nos puede afectar, ya sea a nivel
usuario o a nivel de
empresas, es que el
94% del malware (que roba y secuestra nuestros datos) nos llega
vía email y este tipo de ataques han aumentado un
358% con respecto a 2019 y un
453% en el caso del ransonware (encriptado de información robada).
Son algunas reflexiones del experto en c
iberseguridad Adrián Ramírez,
CEO de Dolbuck, que reconoce que
la pandemia aceleró la especialización y perfeccionó las técnicas de estafas digitales y que el anonimato, la falta de recursos policiales y las trabas burocráticas a la hora de solicitar información a terceros países propician un
caldo de cultivo ideal para los cibercriminales, que suelen salir impunes en la mayoría de este tipo de estafas.
Ramírez explica que son muchas las empresas que acuden a él, como perito informático forense, ante delitos como el que ha sufrido el Ayuntamiento, una
estafa BEC, ya conocida al
igual que la del CEO. En ese caso la comunicación se ha “comprometido” a través de un correo electrónico suplantando una identidad. Se podría haber
evitado exigiendo un
certificado bancario de titularidad del IBAN y
verificando los datos bancarios con la empresa antes de pagar, además de c
ambiar con frecuencia contraseñas, usar dobles autentificaciones (correo y SMS) o firmas digitales en los mails.
Pero el problema es que “hay
miles de técnicas que permiten obtener información” tanto de las personas como de las empresas y se une que
las compañías invierten poco en seguridad y los
usuarios tienen
poco interés por su privacidad. Los delincuentes
“se reiventan”, advierte el CEO de
Dolbuck, incluso son capaces de
estudiar si hay gente en casa a través de los
contadores inteligentes de la luz; investigando el
perfil de una persona en las redes sociales; o aprovechando grandes
fallos de seguridad de las administraciones públicas que dejan miles de datos nuestros “expuestos”.
Los
ataques más habituales, además del BEC, son la
suplantación de identidad, usando muchas veces las redes sociales porque “
la ingeniería social es el origen de todos estos ataques”, y todo acompañado de un enlace a un
malware, que se encargará del cifrado de información con la posterior petición de un rescate, el robo de contraseñas, el robo de información bancaria y consecuentemente, el robo de dinero con la información obtenida.
“El cibercrimen no acaba más que de empezar”, se lamentaba Ramírez, que añade que el caso de los ciberataques los realiza “un
conglomerado de empresas, grupos independientes y estructuras descentralizadas de cibercriminales que operan desde
muchos puntos del planeta”, incluso llegan a estar
perfectamente estructuradas hasta con su propio call center, mientras que también
se asocian temporalmente, o se subcontratan servicios para enviar los mailings fraudulentos, se alquilan ransomware… y
todo bajo el anonimato y las cryptomonedas.
E insiste. “Desde hace al menos 10 años,
la ciberdelincuencia es la forma de vida de miles de jóvenes en todo el mundo y genera miles de puestos de trabajo, algunos con su contrato y pagas extras. Cabe recordar que el cibercrimen
mueve más dinero que la droga o el tráfico de armas, es un negocio muy próspero que cada año crece de forma exponencial”.
Según un estudio del Ministerio del Interior, el
fraude informático se disparó de 70.178 denuncias en 2016 a 192.375 en 2019, de los cuales tan
sólo se esclarecen el 15% de los casos denunciados. A la vista de esta progresión, es probable que en
2021 se pueda sobrepasar los 250.000 delitos de fraude informático.
Andalucía es la tercera en denuncias, sólo por debajo de Cataluña y Madrid.
Algunos datos
• Los ataques por malware han aumentado en un 358% en comparación con 2019 y, en el caso del ransomware, hasta en un 453%.
• Cada día aparecen 100.000 nuevos sitios web maliciosos y 10.000 nuevos archivos dispuestos a atacar nuestra seguridad informática.
• El 94% de todo el malware se distribuye por correo electrónico.
• Más del 80% de todos los ciberataques notificados son ataques de phishing.
• Google registró más de 2 millones de sitios web de phishing en enero de 2021 frente a los 1,7 millones de enero de 2020, lo que se traduce en un aumento del 27% en tan solo doce meses.
• En 2019, el 93,6% del malware observado era polimórfico, lo que significa que cambia constantemente su código para evitar ser detectado.
• En 2020, los atacantes también intentaron sacar provecho de la pandemia del coronavirus e interrumpieron las cadenas de suministro críticas. Los ataques a las cadenas de suministro aumentaron un 420% en solo doce meses.
La entrevista completa a Adrián Ramírez, experto en ciberseguridad Adrián Ramírez y CEO de
Dolbuck
El caso de la ciberestafa al Ayuntamiento de Sevilla intentando cobrar el contrato de un adjudicatario público ha vuelto a dar actualidad a este tipo de delincuencia. ¿Se han especializado los ciberdelincuentes?
En líneas generales, la pandemia aceleró la especialización y perfeccionó las técnicas de estafas digitales. El aumento del comercio electrónico durante la pandemia provocó que los delincuentes que aún no habían dado el salto a las nuevas tecnologías lo hicieran.
La sensación de anonimato, la poca capacidad de los Cuerpos y Fuerzas de Seguridad del Estado por falta de recursos y las trabas burocráticas a la hora de solicitar información a terceros países propician un caldo de cultivo ideal para los cibercriminales, que suelen salir impunes en la mayoría de este tipo de estafas.
¿Estamos más expuestos tras la pandemia?
Ahora estamos más expuestos porque este tipo de estafa se ha multiplicado, pero realmente siempre estuvimos expuestos. Aunque no es una novedad, la estafa realizada al Ayuntamiento de Sevilla, hay que recordar que este tipo de estafa llamada BEC y en su variante “la estafa del
CEO” ya era conocidas desde mucho antes de la pandemia.
La estafa al Ayuntamiento se cataloga como tipo Bussines Email Compromise. ¿Es de las más habituales? ¿Qué ha fallado? ¿Cómo se evita un BEC?
Como perito informático forense, recibo casi a diario llamadas de empresas que han detectado que están siendo víctimas de un BEC o que ya han sido estafadas mediante un BEC. Pero, ¿qué es un BEC? Como sabemos la comunicación se establece entre dos entidades, por lo que la información viaja de una empresa u organización “
A” hacia otra que llamaremos “
B”. El BEC o compromiso de un email corporativo es cuando uno de los integrantes de la comunicación es “comprometido”, es decir, su cuenta de correo es leída por los delincuentes ya que previamente han robado su contraseña mediante técnicas de phishing, ataque MITM (Man in theMiddle),etc. Por lo que todos los mensajes son interceptados y leídos silenciosamente por los delincuentes, los cuales tienen la capacidad de intervenir en la comunicación entre
“A” y
“B” en cualquier momento. El modo usual de intervención fraudulenta es la modificación o creación de un email suplantando la identidad de la empresa
“B” de modo que el email modificado incluya los datos bancarios de los ciberdelincuentes. Así, cuando la empresa
“A” cree que realiza el pago a la empresa
“B”, realmente lo hará al IBAN de los ciberdelincuentes. Luego es cuando vienen los problemas legales, ya que la empresa “A” dirá que fue engañada por un fallo de seguridad de la empresa “B”. Y la empresa “B”, como no recibió el pago, reclamará el pago y mantendrá la deuda de la empresa “A”.
Este tipo de estafas se pueden evitar de varias formas. Uno de ellos es creando protocolos de pago como por ejemplo, solicitar al proveedor del servicio al que se le va a abonar un certificado bancario de titularidad del IBAN que esté a nombre de la sociedad que figura en el contrato; y verificar telefónicamente con la empresa los datos bancarios antes de realizar el ingreso. Otras formas de protección pasan con cosas más sencillas como cambiar la contraseña del correo frecuentemente; proteger el acceso al correo electrónico con un factor de doble autenticación como, por ejemplo, contraseña y envío de SMS; enviar los emails firmados digitalmente con certificado personal del remitente, eso da lugar al no-repudio y asegura la integridad del mensaje. Con estas medidas podríamos evitar fácilmente una estafa de tipo BEC.
A nivel de usuario, ¿cuáles son los tipos de ciberestafa más habituales? ¿Y a nivel empresarial?
A nivel usuario es usual el robo de cuentas de redes sociales con muchos seguidores. Este robo se realiza mediante el envío de un enlace falso para renovar la contraseña de la red social. Al dar clic y cambiar la contraseña, realmente le estamos dando la contraseña de nuestra red social a los delincuentes. Posteriormente, los delincuentes se pondrán en contacto con la víctima para pedirles un dinero a cambio de devolverles la cuenta. También se puede vender en el mercado negro de la deepWeb.
Otro tipo de estafa es la de usar los portales de venta de segunda mano para vender productos a muy buen precio, los cuales nunca se envían. En este caso, los ciberdelincuentes suelen dar códigos de seguimiento del envío falsos que, inicialmente, evita la sospecha de fraude por parte del comprador.
Un tipo de estafa más reciente se relaciona con la inversión en cryptomonedas. Se recibe una llamada de una persona que nos invita a invertir en cryptomonedas accediendo a un portal para la compra de dichas divisas. Si la victima accede, en principio, le irá bien, ya que observa que invirtiendo 200 euros en pocos días obtiene 300 euros, por lo que le animarán a invertir más. El problema aparece cuando intente recuperar el dinero invertido y ganado en esa plataforma. Entonces la víctima se dará cuenta que todo es falso, ni tiene cryptomonedas, ni sus ganancias son reales. La victima comprobará que lo único real fueron los cargos en su tarjeta de crédito. Que, por cierto, no son reclamables al banco.
A nivel de empresas, la ciberestafa más común, aparte de la BEC que ya hemos explicado, es la estafa
ransomware. Esta consiste en la introducción en algún dispositivo de la empresa de un malware que secuestra la información de la empresa mediante el cifrado de la misma, pidiendo un rescate por la llave criptográfica que permite descifrar la información cifrada. Si la empresa no quisiera pagar el rescate, los ciberdelicuentes hacen pública en la red la información sensible que han robado antes de cifrarla como son los contratos, nóminas, proyectos, acuerdos comerciales, etc., comprometiendo la reputación de la empresa.
¿Hay cifras del volumen de estafa que se denuncian en España o Andalucía?
Según un
estudio del Ministerio del Interior, el fraude informático se disparó de 70.178 denuncias en 2016 a 192.375 en 2019, de los cuales tan solo se esclarecen el 15% de los casos denunciados. A la vista de esta progresión, es probable que en 2021 se pueda sobrepasar la cifra de los 250.000 delitos de fraude informático. En el mismo estudio se indica que Andalucía ocupa el tercer lugar en hechos denunciados de cibercriminalidad, tan solo por debajo de Cataluña y Madrid.
Otro aspecto que está a la orden del día son los ataques informáticos. ¿Cuáles son los más habituales y cómo se lucha contra ellos?
El más común es la suplantación de identidad, esto es, enviar emails haciéndose pasar por una entidad bancaria, una red social o un supermercado ofreciendo descuentos. Sin lugar a duda, la ingeniería social es el origen de todos estos ataques. Todo ello va acompañado de un enlace a un malware, el segundo componente más peligroso. El malware es el que se encargará de tareas como la de cifrado de información con la posterior petición de un rescate, el robo de contraseñas por ejemplo de cuentas de redes sociales, el robo de información bancaria y consecuentemente, el robo de dinero con la información obtenida.
Como ya se ha comentado anteriormente, para protegernos ante estos ataques es necesario contar en nuestros dispositivos electrónicos, incluidos nuestros teléfonos móviles, con un buen antivirus y un sistema de detección de malware. Además, no utilizar la misma contraseña para todos nuestros accesos a redes sociales, cuenta de email, bancos, etc., y cambiar estas contraseñas con frecuencia, por ejemplo, cada 6 meses.
Pregunta capciosa… ¿hay empresas dedicadas a perpetrar estos ataques? ¿Se puede decir que la ciberdelincuencia se ha convertido en una forma de negocio?
Este tipo de ataques es realizado por un conglomerado de empresas, grupos independientes y estructuras descentralizadas de cibercriminales que operan desde muchos puntos del planeta. De hecho, encontramos organizaciones perfectamente estructuradas con un departamento de desarrollo, un área de
call center, otra área especializada en blanqueo, otra en marketing, ventas…
También encontramos grupos totalmente descentralizados en los que se crean asociaciones temporales o se contratan servicios. Por ejemplo, se puede alquilar un
ransomware a un equipo desarrollador que nos alquilará la plataforma por días. Por otro lado, se puede comprar un servicio de campañas de
mailing enviando millones de emails a víctimas de distintos países. Todo se puede subcontratar manteniendo el anonimato de las partes que intervienen con pagos en cryptomonedas.
Desde hace al menos 10 años, la ciberdelincuencia es la forma de vida de miles de jóvenes en todo el mundo y genera miles de puestos de trabajo, algunos con su contrato y pagas extras. Cabe recordar que el cibercrimen mueve más dinero que la droga o el tráfico de armas, es un negocio muy próspero que cada año crece de forma exponencial.
Y a nivel de usuario, de ciudadano de a pie, con la alta exposición a través de las redes sociales, ¿estamos en peligro?
Estamos en peligro por la mezcla de varios aspectos que conforman la tormenta perfecta para los ciberdelincuentes. Primero, las empresas invierten poco en ciberseguridad, por lo que ese televisor inteligente que compras con conexión a Internet, ese reloj, ese coche que te dice cuánta gasolina tiene mediante una aplicación móvil o esa cafetera que pide más café por email, posiblemente tenga fallos de seguridad, a veces incluso conocidos por el fabricante. Hay un gran grupo de investigadores que nos dedicamos a buscar y reportar dichos fallos de seguridad, sin embargo, muchas veces nuestras investigaciones terminan por ser desoídas por los fabricantes por el alto coste para solucionarlos. En segundo lugar, el poco interés de los usuarios por su privacidad o el poco tiempo que dedican para configurar las opciones de privacidad, permiten que muchas veces se haga publica información que debería ser privada.
Los delincuentes se reinventan con la llegada de la tecnología, por ejemplo, observando los nuevos contadores inteligentes de luz podemos saber si hay gente en casa o no. Hay sensores de alarmas inalámbricos que envían información por el aire, no cifrada, por lo que interceptando esa información un delincuente puede saber no solo si hay gente dentro de la vivienda, sino las horas de mayor actividad y en qué zonas de la casa se concentra la mayor actividad. Sabiendo el nombre de una víctima se la puede localizar en una red social, y rápidamente podemos saber todo sobre su vida, si se va de vacaciones, si compró un objeto de valor para su casa, sus rutinas. La información que nos proporcionan las redes sociales permite conocer muy bien a una persona, por lo que no sería difícil crear un diccionario para adivinar contraseñas o contestar las preguntas de recuperación de una contraseña. En definitiva, un delincuente lo podría saber todo. Por otro lado, las redes sociales han tenido varios fallos de seguridad, por lo que, aunque el usuario configure muy bien su privacidad, la brecha de seguridad de la red social termina exponiendo su información.
Y como estas hay miles de técnicas que permiten obtener información personal de los ciudadanos. Uno de los más preocupantes son los grandes
fallos de seguridad que ha tenido la Administración Pública que han podido dejar expuestos millones de datos de los ciudadanos. Esta información es procesada por los ciberdelincuentes que perfilan nuevas formas de suplantación de identidad de administraciones públicas a partir de datos verdaderos que no hacen sospechar a la víctima, reclamando pago de impuestos en portales falsos, por ejemplo. En otras palabras, el cibercrimen no acaba más que empezar.