Alberto Pascual García
El Servicio Público de Empleo Estatal ha sufrido uno en marzo dejando al descubierto la debilidad de su sistema de seguridad y la importancia de contar con gente formada en esta materia.
En 2020, la Agencia Española de Protección de Datos (AEPD) notificó 1.370 brechas de seguridad a empresas públicas y privadas de nuestro país. Algunas de ellas superaban los 600.000 afectados, siendo la peor una de 8 millones de personas por un incidente en el que se vieron expuestas en la red credenciales de acceso de todos estos usuarios. La gran mayoría de los casos notificados sufrieron lo que se conoce como un ataque cibernético. Analizamos en qué consiste este término y cómo se ha visto comprometido el Servicio Público de Empleo Estatal (SEPE) este mes de marzo ante una quiebra tan importante en sus sistemas de seguridad.
Según el Instituto Nacional de Seguridad (INCIBE), un ataque cibernético es un “proceso dirigido con una intención bien definida: conseguir unos efectos sobre un objetivo; por ejemplo, robar datos que están en un servidor web o cifrar los contenidos de una máquina para hacer que el usuario pague un rescate”. Es decir, se trata de una serie de acciones ofensivas contra bases de datos o redes informáticas con la única intención de dañar, alterar o destruir a instituciones, personas o empresas. Eso sí, las motivaciones son muy variadas: como acto criminal, acción activista o de protesta, espionaje empresarial o ciberterrorismo.
En esta ocasión el objetivo ha sido una institución importante, el SEPE, y ha supuesto un trastorno importante para la organización, ya que han mostrado la vulnerabilidad de su seguridad. Valoramos la situación con Gemma Martínez Galindo, coordinadora académica del Máster Universitario en Ciberdelincuencia de UNIR.
La pandemia mundial, una excusa para atacar
Sin duda, la COVID-19 ha trastocado la manera en la que las empresas desarrollan su actividad. Millones de personas tuvieron que pasar de la noche a la mañana a teletrabajar en casa, las compañías se vieron obligadas a dar un gran salto digital y muchas se dieron cuenta de la importancia de instalar un sistema de seguridad en condiciones. Pero no todo el mundo ha sabido capear la situación con audacia o se ha adaptado de la misma forma.
Por ejemplo, según un informe de ciberpreparación de Hiscox 2020, a pesar de que las compañías españolas han ampliado un 6% el presupuesto destinado a la ciberseguridad, menos del 40% cree estar en riesgo de sufrir un ataque, lo que implica que cerca del 60% no está nada preocupada por ello. El SEPE ha mostrado esa deficiencia y las organizaciones que están detrás de estos ciberataques lo han aprovechado, tal y como destaca Martínez Galindo:
“Su modus operandi implica detectar dónde pueden encontrar la mayor cantidad de datos relevantes de la población y hacer mayor daño para obtener grandes ventajas económicas. El sector público en España está obsoleto, no puede ser que para realizar trámites aún tengamos que acudir a navegadores que apenas se utilizan y que se empleen lenguajes de programación que dan fallos continuos. Esto es aprovechado por los ciberdelincuentes, que cada vez tienen mayor sofisticación en los ciberataques. En este caso, han tenido acceso a datos sensibles para la población con la que se pueden cometer grandes fraudes. Es para estar muy preocupados”.
Y, ¿qué ocurre con toda esta información? El camino más habitual es que esas bases de datos acaben en la dark web, siendo vendidos al mejor postor para obtener un beneficio económico importante por ello, aunque también se llegan a exigir rescates por liberarlo o restablecer los sistemas infectados. A pesar de que el Gobierno asegura que eso no ha ocurrido, Martínez Galindo destaca que es una práctica común entre los delincuentes en la red: “Detrás de estos ataques de ‘ransomware’ está siempre un ‘hacker’ experto que puede actuar solo o a través de una organización criminal. En muchas ocasiones, lo que quiere es negociar ante la solicitud del rescate. No tenemos que olvidar que se trata de un extorsionador que está llevando a cabo una intimidación enorme, además de provocar unos daños informáticos, que no lo hace sino por un motivo económico”.
El SEPE no ha sido el único afectado del último año
A pesar de que los ataques cibernéticos son muy habituales a diario, este último año los objetivos están siendo especialmente seleccionados para hacer más daño. Por ejemplo, en agosto de 2020 le tocó a Mapfre, mientras que en septiembre lo padeció Adeslas y hace unos días el Área Metropolitana de Barcelona. Afortunadamente, fueron ciberataques que pudieron ser detectados a tiempo, pero otros supusieron un importante varapalo en la brecha de seguridad, por lo que es importante estar en alerta:
“En Reino Unido, por ejemplo, no pudo pararse y se produjo un colapso que llevó a que muchos enfermos de COVID tuvieran que ser trasladados e, incluso, motivó denuncias por homicidio imprudente al tardar en llegar las ambulancias a otros centros por el bloqueo de los sistemas. Son ataques muy parecidos a los que ha sufrido el SEPE. A través de diferentes formas de ‘phishing’ se entra en el sistema, bien por un correo con un link o un adjunto malicioso que pasa desapercibido, o una aplicación web que los trabajadores de la compañía ni detectan”, advierte Martínez Galindo.
Este tipo de delitos ha crecido exponencialmente y, en muchas ocasiones, no hace falta siquiera apuntar a empresas muy grandes. Solo la estafa online ha incrementado la oportunidad criminal, fraudes a pequeña escala que cuando las víctimas son miles, implican una gran rentabilidad para el autor: “Con el teletrabajo somos más vulnerables. Nos conectamos a un servidor en red, realizamos más compras online y, a veces, olvidamos la seguridad, lo que aprovechan los ciberdelincuentes para que piques. Pueden instalarte un ‘malware’ en el ordenador para robar tus claves o datos que luego utilizarán para cometer un fraude, o bien entregándoselas tú sin darte cuenta a través de señuelos creíbles”.
Este tipo de delincuencia se ataca desde la especialización de quienes se encargan de perseguirlos, tanto los expertos en ciberseguridad de las empresas como las asesorías jurídicas de estas, que tienen que trabajar conjuntamente, a su vez, con las Fuerzas y Cuerpos de Seguridad. Adelantarse a los ciberataques solo es posible con una gran inversión en personal y programas expertos en ciberseguridad y en ciberdelincuencia.
Un futuro laboral prometedor
En menos de 10 años ha habido una gran revolución en la materia de criminalidad y más aún en el ámbito digital. Ahora, es necesario conocer bien cómo funciona la ciberdelincuencia para saber prevenirla, cómo operan en ella las bandas organizadas, qué tipo de delitos se cometen y como obtener pruebas para su sanción penal. Áreas que se tratan con especial atención dentro del Máster Universitario en Ciberdelincuencia de UNIR, donde Martínez Galindo es coordinadora académica:
“El enfoque es multidisciplinar, porque los alumnos van a formarse en el conocimiento a fondo en la ciberdelincuencia y sus peculiaridades con respecto a la delincuencia clásica, en el modus operandi de sus autores, las motivaciones y los perfiles criminales. Van a saber identificar las conductas que se consideran delictivas y cómo obtener las pruebas necesarias y llevar a cabo la investigación para perseguir y sancionar estas conductas, además de aprender a prevenirlas desde el punto de vista de la victimología”.
En UNIR, actualmente existen dos titulaciones que se parecen mucho entre sí por el nombre, pero se refieren a dos perfiles diferentes: ciberseguridad y ciberdelincuencia. Ambas son complementarias, pero tienen un origen completamente diferente. Un experto en ciberseguridad está enfocado al ámbito técnico informático, es decir, un perfil especializado en la protección frente a ataques y amenazas en sistemas operativos, redes, software de aplicación, sistemas web y bases de datos. Pero si nos centramos en el área de ciberdelincuencia, la cosa cambia:
“Una vez que se han cometido esos ciberataques entra en juego la figura del abogado y criminólogo especializado en ciberdelincuencia, y de la propia Policía Judicial que va a investigar. Ahí es donde estos profesionales tienen que saber ante qué perfil de ciberdelincuente se encuentran para poder investigar y proceder a la identificación y detención del autor, concretar los delitos de nuestro Código Penal que se habrían cometido para poder interponer querella, denuncia o, simplemente, redactar un atestado para presentar ante el juez”.
Si tuviéramos que plantear un perfil tipo de estudiante, nos encontraríamos desde peritos informáticos o expertos en ciberseguridad que quieren ampliar su formación técnica en temas jurídicos y criminológicos, pasando por letrados, criminólogos, fiscales o hasta miembros de las Fuerzas y Cuerpos de Seguridad del Estado. De hecho, en este último grupo, esta formación es cada vez más exigida como palanca para aspirar a mejores puestos: “Por ejemplo, los abogados y criminólogos necesitan especializarse, porque tanto las víctimas como los autores de estos delitos, cuando son detenidos, van a buscar a expertos en esta materia, por las peculiaridades que tiene este tipo de delincuencia”, concluye Martínez Galindo.
Si crees que cumples con este perfil y buscas los mismos objetivos, accede ya a la siguiente convocatoria del Máster Universitario en Ciberdelincuencia de UNIR.