Según el anuario del Ministerio del Interior, el año pasado se conocieron en Galicia 21.004 infracciones penales cometidas en o por internet, lo que supone el 22% de todos los delitos. De ellas, 18.547 eran estafas; unas 50 al día. Aun así, bajan por primera vez tras una década de crecimiento vertiginoso.
No hemos tenido tiempo a analizar los datos, pero está claro que cada vez se están intensificando las campañas de formación y la actividad policial, que influyen en esa bajada. Aunque no hay que olvidar que muchos de los ciberdelitos no son conocidos porque no se denuncian, ya que muchos son microestafas y la gente prefiere no molestarse. Así que el número total probablemente sea mayor.
De hecho a una compañera le hicieron tres cargos ilegales en iTunes que no sumaban ni 10 euros.
Lo ideal es denunciar siempre. Primero para que haya conocimiento del volumen del cibercrimen y, segundo, porque si hay mil denuncias en una provincia sobre estas microestafas el esfuerzo que puede poner la Policía es mayor. Aunque el problema que tienen los ciberdelitos es su difícil atribución y persecución. Internet es global y estos delitos se pueden cometer en cualquier país del mundo, a veces en algunos con los que no hay tratados de extradición o de intercambio de información. Los hechos esclarecidos son un porcentaje muy bajo frente a los hechos conocidos. Para llevarlos a juicio hay que saber quién hay detrás y eso en el mundo virtual es difícil.
¿Cuáles son ahora los sistemas más empleados para estas estafas?
Lo que se da muchísimo es intentar engañar a las personas a través de mensajes fraudulentos, que pueden ser por correo electrónico, por whatsapp e incluso por SMS, y en los que dicen que tiene que recoger un paquete, que le ha tocado la lotería o cualquier otra cosa que pueda tener relación con su actividad. Suelen tener enlaces en los que el usuario pincha. A veces solo este mero hecho puede implicar ya una problemática de seguridad y, si no, llevan a un portal web donde se piden las credenciales del correo o del sistema de la empresa. Y si se meten, el atacante ya las tiene.
El problema que tienen los ciberdelitos es su difícil atribución y persecución"
A nosotros aún nos llegan emails de príncipes nigerianos en apuros para desbloquear su fortuna.
Curiosamente se siguen viendo bastante, aunque son menos efectivos. Los engaños están cada vez más elaborados y muy contextualizados al territorio. Se ejemplifica en el tema de la banca, donde para estafar se utiliza el nombre la entidad más conocida o con más clientes en Galicia. Incluso llaman por teléfono hablando en gallego para que sea más creíble.
Esa no la conocía.
Este tipo de campañas están cada vez más orquestadas por organizaciones criminales formadas por un conjunto de personas con una alta especialización. Está el que programa el software malicioso, el que hace las llamadas, el que piensa los textos para los correos... También por teléfono se da mucho el engaño que se conoce como "la llamada del soporte técnico de Microsoft", en la que avisan a la víctima de que tiene un problema en el ordenador y ofrecen arreglárselo en remoto pidiendo unos pasos mediante los cuales acaban entrando en él y robando información. Funciona mucho.
¿Cuál puede ser el perfil tipo de las víctimas de la ciberdelincuencia?
Son varios y aparecen en todos los entornos, porque son situaciones que se dan en el ámbito personal de un ciudadano cualquiera. De hecho, las estadísticas dicen que la mayor parte de ciberdelitos se dan entre los 35 y los 45 años, porque son las personas que más usan estos sistemas y, por ejemplo, más compran online. Pero tanto empresas como administraciones públicas de todos los tamaños son objetivo de estas campañas y cualquiera puede acabar afectada. Todas estas estafas se siguen haciendo porque, al final, hay quien acaba picando. Es humano. Cualquiera de nosotros que esté despistado, que tenga prisa o al que lo engañen bien, puede caer.
Los engaños son cada vez más elaborados y contextualizados. En Galicia incluso llaman por teléfono hablando en gallego"
Las charlas que ofrecen se enfocan especialmente a personas mayores y a progenitores de menores.
Tenemos diversos programas de concienciación e información en los que intentamos segmentar porque, a veces, los participantes no tienen las mismas necesidades. Este programa tiene una orientación más centrada en las estafas, los bulos, a aprender que no todo lo que viene en internet es cierto... Y también hemos puesto en marcha otro en el que vamos a ir a 130 centros educativos a dar talleres prácticos sobre cómo configurar de forma segura los dispositivos, las redes sociales y los servicios de internet que utilizan los chavales de segundo, tercero y cuarto de la Eso.
¿Nos podemos fiar del uso que las redes sociales hacen de nuestros datos? Andan vetando TikTok en los móviles gubernamentales de países como EE.UU. y Reino Unido.
Es una pregunta comprometida. Con TikTok el problema está en que hay sospechas que, desde China, de donde es esta red social, se tenía acceso a datos de ciudadanos europeos y norteamericanos, y eso no ha gustado. Con las redes solo me remito a casos públicos recientes en los que se ha puesto en entredicho ese uso, como el de Facebook con Cambridge Analytica.
¿Pasamos demasiado de rechazar las cookies y de leer la lista de términos y condiciones?
Es cierto. Es una constante que cuando usamos servicios de internet no tenemos las precauciones adecuadas en todos los casos. También es cierto que leer y entender las condiciones legales de todo lo que usamos es complejo y los usuarios no siempre tienen la capacidad y el tiempo de revisarlas. En general confiamos en la buena fe de las empresas que los gestionan, como nos ocurre también en el mundo físico.
En que no haya sorpresas con la letra pequeña del banco.
Efectivamente. Lo que pasa es que a veces las hay, o sea que hay que tener ojo con ello.
Al hilo de las estadísticas, el Jefe Superior de Policía de Galicia aseguraba que ya solo con concienciación se puede reducir la ciberdelincuencia un 70%. La verdad es que a veces mi madre me deja su móvil para arreglarle alguna cosa y, al ver cómo lo tiene, me quedo con la impresión de que hasta hay menos ciberestafas de las que podría haber. ¿Cuáles son los consejos básicos para evitar ser víctima de ellas?
Primero, concienciarse, porque a veces se minusvalora el problema creyendo que no nos va a pasar, y sí que pasa. Segundo, formarse, para saber qué tipo de cosas pueden ocurrir. Tercero, a nivel ya más técnico, consejos básicos que suenan viejos pero que realmente siguen siendo importantes y que no se cumplen: hacer copias de seguridad de la información, mantener los dispositivos actualizados y, en los servicios de internet, utilizar la autenticación de doble factor, es decir, que para acceder al email o a la red social no se use solo un identificador de usuario y una contraseña, sino configurar esta seguridad avanzada para que, por ejemplo, se nos pida un código que se envía al móvil o utilizar una app para que nadie puede entrar a ese servicio en tu nombre.
A veces se minusvalora el problema creyendo que no nos va a pasar. Y sí que pasa"
Con todo, la Unión Europea prevé que los ciberdelitos continúen aumentando exponencialmente.
El uso de la tecnología es cada vez mayor y se ha acelerado con la pandemia. La digitalización está más presente en nuestras vidas, a nivel personal, empresarial y de administración, y hay más servicios donde atacar. Por otra parte, los delincuentes tradicionales están viendo que los ciberdelitos son más rentables, más seguros y más cómodos, por lo que está habiendo un movimiento hacia ellos.
¿Haría falta desarrollar más regulación o es una carrera en la que siempre se va a ir a remolque?
Poco a poco se va generando. Por ejemplo, en España existe desde 2010 el Esquema Nacional de Seguridad, que es de obligado cumplimiento para todas las administraciones públicas y que exige unos mínimos de seguridad en los servicios que prestan. A nivel europeo también está habiendo un esfuerzo importante, como la normativa Dora para las entidades bancarias o la directiva NIS2, en la que se establecen requisitos más exigentes en la gestión de la ciberseguridad en las organizaciones tanto públicas o privadas, como que empresas de más de 50 empleados tengan la obligación de que sus integrantes reciban formación específica. La regulación siempre va por detrás, pero poco a poco va avanzando.
¿Qué papel jugará en todo esto el Centro de Ciberseguridad de Galicia que la Xunta prevé tener listo en Ourense para 2025?
Será un espacio para dar soporte a cualquier iniciativa que tenga que ver con la mejora de la ciberseguridad en nuestro territorio. Se contempla que se pueda usar de forma colaborativa entre las administraciones públicas y el ámbito privado y dará soporte a temas de innovación, laboratorios, centros de mostradores, emprendimiento, apoyo a la creación de empresas....
