La ciberdelincuencia ha aumentado en los últimos años al ritmo que lo ha hecho la tecnología, vertiginosamente, auxiliada por la pandemia, aprovechando la adopción masiva y precipitada de las tecnologías para el teletrabajo.
Quien más y quien menos ha recibido un email, un sms, o una llamada de su banco, de Correos, o de cualquier entidad aparentemente “confiable”, solicitando datos bancarios de los que los ciberdelincuentes se sirven para sus cibercrímenes.
Se ha convertido así la cibercriminalidad en un gran negocio, que se funde con intereses geopolíticos y grupos especializados a gran escala. Pero también lo es la ciberseguridad necesaria para contrarrestarla.
Esto quedó patente en el primer Congreso Nacional de Prevención del Fraude Digital y Ciberseguridad, que organizó la World Compliance Association (WCA) el 9 de junio.
El evento contó con el apoyo del Ayuntamiento de Madrid, CyberMadrid y el INCIBE y fue inaugurado por la directora general de Economía del Ayuntamiento de Madrid, María Ángeles Prieto Arroyo, quien subrayó la importancia de Madrid como centro de actividades de ciberseguridad, y su compromiso con empresas y entidades de este sector.
Comenzó la directora general del INCIBE, Rosa Díaz Moles, presentando unos datos apabullantes: se producen más de 2.200 ciberataques al día en el mundo, lo que supone un ciberataque cada 39 segundos.
Los costes del cibercrimen crecen un 15% anual a nivel global y ya genera más beneficios que el narcotráfico, según INTERPOL.
Como contrapartida también crece el sector de la ciberseguridad, con una tasa anual del 10,5% desde 2020 hasta 2024. Destacó Rosa Díez que este es un mercado en auge en nuestro país, con un crecimiento anual de más de un 8%, lo que supone una gran oportunidad de negocio que nos puede situar en primera línea, sólo detrás de USA y China.
Las cuatro mesas temáticas contaron con numerosos CISOS (chief information security officer), expertos en ciberseguridad e informática y de la policía, así como con la participación del director del Centro de Ciberseguridad del Ayuntamiento de Madrid, José Ángel Álvarez Pérez. Todos ellos debatieron sobre los problemas para frenar el cibercrimen y la importancia de mejorar la ciberseguridad en empresas e instituciones.
Con respecto a los problemas, uno es la impunidad del ciberespacio y otro la lentitud de la regulación, en contraposición con la velocidad con la que se desarrolla la tecnología. No es posible una ley para cada avance tecnológico. En este punto se destacó que el Segundo Protocolo de Budapest abre una ventana de oportunidad para la colaboración entre los países firmantes en la investigación y recogida de pruebas de estos delitos.
En el contexto europeo, la representante española en el Consejo de la Agencia de la UE para la Ciberseguridad (ENISA) y consejera técnica en el Departamento de Seguridad Nacional (DNS), Elena de la Calle Vian, subrayó que desde ese organismo se actúa en cuatro pilares: elaboración de soluciones confiables, una cooperación operacional, diseño de políticas de ciberseguridad, y en la construcción de capacidades, a través de ciberejercicios, que consisten en simulaciones de ciberincidentes, con el fin de encontrar soluciones para cuando ocurran en la realidad.
En cuanto a las soluciones para las empresas, todos los intervinientes estuvieron de acuerdo en que hay q actuar en tres fases: protección, detección y respuesta o recuperación.
Para ello debe haber una colaboración entre el sector público y el privado para investigar algo tan complejo como la ciberdelincuencia, de lo contrario esas indagaciones mueren, si no hay ayuda para transmisión de información, informes y métodos de trabajo.
También abogaron por mejorar la colaboración entre entidades privadas, aunque el escollo con el que se encuentran en este caso es con el silencio de las compañías para preservar su reputación.
A las organizaciones les recomendaron que se autorregulen, que no esperen a una normativa, sino que establezcan protocolos internos de actuación con objetivos específicos, una metodología clara, y que formen e informen a sus empleados y directivos, llegando a la alta dirección, que debe concienciarse de que es una inversión y no un gasto.
Otra de las recomendaciones fue precisamente esa, la de la inversión en ciberseguridad, los expertos entienden que debería ser una parte intrínseca del negocio. Al igual que se gasta en seguridad física, también debería hacerse en seguridad digital. El consejo fue que debe prevenirse, no hacerlo porque haya un organismo regulador que vaya a multar su incumplimiento, sino para evitar la brecha de seguridad que el ciberatacante va a aprovechar si no se han adoptado medidas de protección.
Como se explicó en el Congreso, ahora mismo los fondos next generation de la Unión Europea (de los que España recibirá 140.000 millones en 6 años, mitad subvenciones y mitad en créditos blandos) son una gran oportunidad para hacer esa inversión tecnológica. Para ello es importante identificar las necesidades de cada empresa y cada sector y aumentar el I+D+I de manera selectiva, es decir, estudiar qué soluciones hacen falta en el mercado y desarrollarlas, valiéndose de las subvenciones que ofrece el Programa de Recuperación, Transformación y Resiliencia.
En conclusión, en la protección contra el fraude y la ciberdelincuencia hacen falta soluciones técnicas, acompañadas de formación, concienciación, acceso a la información de lo q está pasando, y mejora en la gestión, incorporando en las empresas protocolos y políticas de actuación, así como fortaleciendo la colaboración continua entre los responsables de ciberseguridad y los de compliance.