La pandemia de la covid ha dado alas a los ciberataques, un amalgama de asaltos que se realizan por Internet y que, en la mayoría de los casos, pretenden usurpar dinero a las víctimas.
Las restricciones sociales diseñadas para frenar la transmisión del virus dispararon las comunicaciones y operaciones financieras por la vía telemática y, según advierten quienes vigilan este terreno, tanto organizaciones criminales como delincuentes amateur han realizado este mismo recorrido para delinquir. Ahora el fraude se hace a golpe de click y de correo electrónico.
Según las estadísticas de la Secretaría de Estado de la Seguridad, la provincia de Pontevedra registró el año pasado (último dato disponible) un total de 8.743 ciberdelitos en los que se considera que hubo infracción penal. El total representa una subida del 126% respecto a 2019, cuando aún no había sospecha de pandemia, y arroja un promedio de algo más de 20 atentados diarios a través de Internet.
El 89% de los ataques virtuales denunciados en Pontevedra son estafas, entre las que destacan las relacionadas con tarjetas de crédito, débito y cheques viaje, que solo en la provincia rozaron las 3.000 el año pasado.
15.300 euros de media
El grueso de las víctimas son ciudadanos de a pie, pero las empresas también están en la diana de los ciberdelincuentes y, de hecho, suelen ser objeto de los fraudes más cuantiosos.
Según el informe de Ciberpreparación de 2022 de la aseguradora Hiscox, el 51% de las empresas españolas sufrieron al menos un ciberataque en el último ejercicio y aquellos que llegaron a prosperar tuvieron un coste medio para la patronal de 15.300 euros.
Fuentes consultadas precisan que en el caso de las empresas de Pontevedra la mayoría de las estafas se quedan por debajo de los 10.000 euros, pero confirman que se han dado casos que se ajustan a esa media nacional y otros que directamente la desbordan. En 2021 una de las sociedades afectadas en la provincia llegó a perder más de siete millones de euros en un fraude por Internet.
Phishing y ransonware, entre los más habituales
Eduardo Díaz Comellas, CEO de la empresa Ultreia Comunicaciones, asegura que particulares y empresas "están recibiendo ciberataques constantemente", pero precisa que en las compañías los tipos más habituales son el phishing y el ransomware.
En el primer caso los ciberdelincuentes suplantan a proveedores, bancos o a los propios servicios informáticos de la empresa para que los trabajadores faciliten sus credenciales y, así, poder hacer transferencias o cambios de cuentas bancaria. En el segundo caso (ransomware) el objetivo es secuestrar los datos de una sociedad y pedir un rescate para recuperarlos, aunque a veces "este ataque se combina con la extracción de documentos del ordenador y la amenaza de publicar los documentos", precisa Comellas.
Ultreia, con sede en Vigo y asociada a la Asociación de Empresas de Tecnología de Galicia (INEO), está dedicada a la gestión de infraestructuras informáticas, entre las que se contabilizan "varios miles de buzones de correo electrónico" de empresas de Pontevedra y de otros territorios (también en el extranjero). Su CEO asegura que "todas las semanas" hay casos de ciberataques y que la modificación de facturas es una de las zancadillas ordinarias.
Pagos con destino Pontevedra que acaban en... Bielorrusia
Entre los ejemplos más recientes, Comellas alude al caso de una gestoría de Pontevedra que hizo pagos a un proveedor por valor de varios miles de euros y luego se percató de que el número de cuenta no era correcto, ya que se trataba de un banco extranjero. Afortunadamente pudo paralizar la transferencia antes de que se hiciese efectiva, pero según advierte el CEO de Ultreia, "estos ataques no suelen tener un final feliz".
En otro caso reciente, una empresa del sector textil estaba esperando un pago de un cliente portugués y al ver que se retrasaba el abono preguntó al proveedor, que indicó que hacía semanas que había hecho la transferencia, solo que ésta tuvo como destino una cuenta en Bielorrusia. "Lo peor en estos casos es que el ataque puede darse en cualquiera de los dos lados, remitente o destinatario del correo, por lo que nadie suele aceptar su responsabilidad y, además de la pérdida económica, suele generar el cese de las relaciones comerciales", concluye el empresario.
Solo se esclarecen el 11% de los casos
A pesar de que las autoridades policiales se afanan en revertir los fraudes, el porcentaje de ciberdelitos que se resuelven es reducido. De las 7.775 estafas que se registraron el año pasado en la provincia a través de Internet, solo se resolvieron el 11% y dentro de estos casos no siempre se recupera el dinero, ya que la mayoría se desvía a cuentas del extranjero.
El año pasado fueron detenidas 202 personas por los ciberdelitos realizados en la provincia, el 85% de nacionalidad española.
305.477 casos en España en el último año
A nivel nacional, las estadísticas oficiales del Ministerio del Interior reflejan que el año pasado se registraron 305.477 ciberdelitos. De estos, 267.011 fueron fraudes informáticos, 17.319 amenazas y coacciones, 10.476 falsificaciones informáticas, 5.342 accesos ilícitos a datos, 2.138 interferencias en datos y en sistemas, 1.628 delitos sexuales, 1.426 delitos contra el honor y 137 delitos contra la propiedad intelectual.
El Instituto Nacional de Ciberseguridad (Incibe) gestionó el año pasado 109.126 incidentes de ciberseguridad desde su Centro de Respuesta a Incidentes de Seguridad (INCIBE-CERT). De estos, el 83% afectaron a ciudadanos y empresas, el 0,6% a operadores estratégicos y el 17% a la Red Académica y de Investigación Española (RedIRI S), que presta servicios de comunicación a la comunidad científica y universitaria.
El 29,8% de los incidentes fueron por la introducción de un software malicioso, un 28,6% por distintos tipos de fraude y un 19% por ataques a sistemas vulnerables.
De hecho, bajo este objetivo, la Xunta ha puesto en marcha el Programa Re-acciona, un plan que ayuda a la patronal gallega a implantar sus propias estrategias y que ya ha beneficiado a 1.400 firmas.
Aparte, las empresas tienen a su disposición coberturas de seguros ciber privados, que o bien pueden ser seguros específicos en este campo o complementarios a otra póliza.
La Administración autonómica considera que la formación y la concienciación son claves para luchar contra la ciberdelincuencia. Por ello, hace ya dos años impulsó un centro de colaboración pública privada en materia de ciberseguridad, denominado CIBER.gal y constituido por el Instituto Nacional de Ciberseguridad (Incibe), el Centro Criptológico Nacional (CCN), las cuatro diputaciones gallegas, la Federación Galega de Municipios e Provincias (Fegamp) y Amtega. Actualmente cuenta con 45 entidades adheridas que trabajan en común para reforzar la información particular y empresarial sobre ciberseguridad, para dar una respuesta coordinada a «retos complejos» y para atraer y retener talento especializado.
"Tenemos ejemplos a diario y las pymes no son una excepción"
El presidente de la Confederación de Empresarios de Pontevedra (CEP) e integrante de la Asociación de Empresas de Tecnología de Galicia (INEO), Jorge Cebreiros, afirma que "sin duda tenemos ejemplos a diario" de ciberdelitos que azotan a la patronal pontevedresa y en los que "lamentablemente las pymes no son una excepción".
¿Cuáles son las consecuencias? El portavoz de los empresarios pontevedreses indica que en muchos casos este tipo de ataques suponen "un impacto relevante en los recursos" de las firmas afectadas, sobre todo "económicos y de paralización de actividades".
Según indica Cebreiros, esto ha llevado a las empresas a incrementar en cerca de un 60% las partidas que destinan a blindar la información, sabiendo que "cuanto mayor sea el escudo, mayor será la protección".
La CEP alerta de que los ataques son cada vez "más profesionales" e incluyen nuevas formas de extorsión
El portavoz de la patronal cree que la concienciación sobre la importancia de la seguridad ha crecido en la empresa de Pontevedra, aunque advierte de que las amenazas "también" han aumentado. Según dice, "en estos momentos, la información es uno de los activos más críticos de las empresas y los ataques son cada vez más profesionales y sofisticados", en los que se utilizan "nuevas formas de infracción, extorsión y pago".
La Confederación ve difícil poner números reales al problema, "porque muchas veces las empresas optan por no denunciar o no hacer públicas sus dificultades en este campo por cuestiones de imagen". Sin embargo, alude a los últimos datos de Amtega que advierten que Galicia sufrió el año pasado más de 20.000 estafas a través de medios telemáticos y que "uno de cada cuatro delitos cometidos en 2021 han sido estafas de tipo telemático".
A nivel de iniciativas propias, la CEP prevé celebrará varias jornadas sobre esta temática. La primera tendrá lugar el 30 de noviembre, con la colaboración de la Policía Nacional y Fiscalía.
