La ciberseguridad ha experimentado una transformación asombrosa en las últimas dos décadas, y su creciente importancia es innegable. Hace solo unas pocas décadas, la idea de proteger nuestros datos y sistemas contra amenazas cibernéticas era un concepto prácticamente desconocido. Sin embargo, con la revolución digital y la creciente dependencia de la tecnología en nuestra vida cotidiana, la seguridad en línea se ha convertido en un pilar fundamental para la sociedad moderna.
En este período de tiempo, hemos presenciado una evolución constante en las amenazas cibernéticas, desde virus informáticos simples hasta sofisticados ataques cibernéticos respaldados por naciones o grandes corporaciones. La ciberseguridad se ha convertido en un campo de batalla donde gobiernos, empresas y usuarios individuales deben estar preparados para defenderse contra una amplia gama de amenazas. La creciente conectividad en línea ha hecho que la protección de datos confidenciales y la preservación de la privacidad sean más cruciales que nunca.
Los inicios de la lucha contra la ciberdelincuencia en la Unión Europea
El 23/11/2001, en la ciudad de Budapest, se realiza la apertura de la firma por parte de los estados miembros de la Unión Europea del Convenio del Cibercrimen o Convenio de Budapest [4], el cuál entró en vigor casi 3 años más tarde el 01/07/2004 y fue firmado y ratificado por 68 países entre miembros y no miembros del Consejo de Europa. Este tratado internacional se convirtió en el primero que busca hacer frente a los delitos informáticos y los delitos en Internet.
Las conductas delictivas definidas en este convenio y transpuestas posteriormente a la legislación española tras su ratificación en 2010 (Artículos 2 a 10) [1] son las que se pueden observar en la siguiente imagen agrupadas en 4 bloques conceptuales:
En los años posteriores llegaron otras iniciativas legislativas relacionadas o con un impacto destacado sobre la ciberseguridad, por mencionar algunas de las más relevantes:
- Directiva sobre Privacidad y Comunicaciones Electrónicas (2002) [5]: Estableció reglas sobre la privacidad en las comunicaciones electrónicas y la protección de datos personales en línea.
- Directiva de la UE sobre Retención de Datos (2006) [6]: Exigió a los proveedores de servicios de comunicaciones retener ciertos datos de comunicaciones electrónicas para fines de seguridad y aplicación de la ley.
- Directiva de la UE sobre Infraestructuras Críticas (2008) [7]: Estableció regulaciones para proteger las infraestructuras críticas de ciberataques y otros riesgos.
- Reglamento de la UE sobre la Identificación Electrónica y los Servicios de Confianza (eIDAS, 2014) [8]: Estableció un marco para la identificación y las firmas electrónicas confiables en toda la UE.
- Directiva sobre Seguridad de las Redes y Sistemas de Información (Directiva NIS, 2016) [9]: Estableció requisitos para la seguridad de las redes y sistemas de información en toda la Unión Europea.
- Reglamento General de Protección de Datos (GDPR, 2016) [10]: Estableció regulaciones estrictas sobre la privacidad de los datos personales y los derechos de los ciudadanos europeos en relación con sus datos.
- Ley de Ciberseguridad de la UE (2019) [11]: Estableció un marco integral para fortalecer la ciberseguridad en la Unión Europea y promover la certificación de productos y servicios relacionados con las TIC, con el objetivo de mejorar la confianza y la protección en el entorno digital.
- Esquema Nacional de Seguridad 2 (2022) [2]: Estableció los requisitos de seguridad necesarios para el sector público y sus proveedores de servicios.
- Directiva de NIS 2 (2022) [12]: Revisó y amplió las disposiciones de la Directiva NIS original, incluyendo la definición de nuevos sectores críticos y la cooperación en ciberseguridad entre los Estados miembros.
- Reglamento de resiliencia operativa digital del sector financiero (DORA) (2022) [13]: Estableció los requisitos para garantizar la resiliencia operativa y la seguridad de las infraestructuras digitales críticas en la UE.
- Propuesta de la Ley de Ciberresiliencia (CRA) (actualmente en fase de propuesta) [3]: Busca fortalecer la ciberseguridad aplicada por defecto a aquellos productos comercializados dentro de la UE.
La ciberdelincuencia en España
La ciberseguridad en España ha experimentado una evolución notable desde 2013, con un aumento constante de los delitos de ciberdelincuencia. Según los Informes de Cibercriminalidad anuales del Ministerio del Interior [18] [19] [20] [21] [22] [23] [24] [25] [26] [27], en 2013 se registraron 42.403 ciberdelitos en España. Sin embargo, en los últimos años, esta cifra se ha disparado hasta llegar a 374.737 en el año 2022. Esto representa un aumento del 884% en el transcurso de los últimos 10 años.
A lo largo de los años, el Fraude Informático ha encabezado con mucha diferencia estas estadísticas, seguido principalmente de las amenazas y coacciones, aunque despuntando con mucha fuerza la falsificación informática desde el año 2020.
Esta tendencia al alza está en línea con un aumento en la sofisticación y la diversidad de los ataques cibernéticos. Los ciberdelincuentes han adoptado nuevas estrategias, como el ransomware, que bloquea los sistemas y exige un rescate para su liberación.
Otro desafío importante es el phishing en todas sus variantes, donde los atacantes se hacen pasar por entidades legítimas para engañar a las víctimas y robar información personal. Según el Instituto Nacional de Ciberseguridad (INCIBE), en 2022 se gestionaron 118.820 incidentes de ciberseguridad, lo que representa un 8,8% más con respecto al año 2021 [16].
En este primer artículo de dos partes, hemos explorado el mundo de la lucha contra el cibercrimen, profundizando en su historia, su impacto en España en la última década y los esfuerzos continuos para combatirlo. Esto nos proporcionará una visión general del cibercrimen, remontándonos a los datos de los últimos 10 años y destacando su evolución hacia una amenaza sofisticada y extendida.
En el próximo artículo nos centraremos específicamente en poner en contexto el cibercrimen en España con respecto al resto de delitos, analizaremos las tendencias y los elementos clave de protección.
Referencias
[1] Agencia Estatal Boletín Oficial del Estado. (17 de Setiembre de 2010). Instrumento de Ratificación del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001.
Obtenido de «BOE» núm. 226, de 17 de septiembre de 2010, páginas 78847 a 78896: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2010-14221
[2] Boletín Oficial del Estado. (03 de Mayo de 2022). Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad.
Obtenido de https://www.boe.es/buscar/doc.php?id=BOE-A-2022-7191
[3] Comisión Europea. (15 de Setiembre de 2022). Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales.
Obtenido de https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52022PC0454
[4] Council of Europe Portal. (23 de 11 de 2001). Chart of signatures and ratifications of Treaty 185. Obtenido de https://www.coe.int/en/web/conventions/full-list?module=signatures-by-treaty&treatynum=185
[5] Diario Oficial de la Unión Europea. (12 de Julio de 2002). Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas. Obtenido de https://eur-lex.europa.eu/legal-content/ES/ALL/?uri=CELEX%3A32002L0058
[6] Diario Oficial de la Unión Europea. (15 de Marzo de 2006). Directiva 2006/24/CE sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones. Obtenido de https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32006L0024:ES:HTML
[7] Diario Oficial de la Unión Europea. (08 de Diciembre de 2008). Directiva 2008/114/CE sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Obtenido de https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32008L0114
[8] Diario Oficial de la Unión Europea. (23 de Julio de 2014). Reglamento (UE) n ° 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. Obtenido de https://eur-lex.europa.eu/legal-content/ES/ALL/?uri=celex%3A32014R0910
[9] Diario Oficial de la Unión Europea. (06 de Julio de 2016). Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información. Obtenido de https://eur-lex.europa.eu/legal-content/es/ALL/?uri=CELEX%3A32016L1148
[10] Diario Oficial de la Unión Europea. (27 de Abril de 2016). Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Obtenido de https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32016R0679
[11] Diario Oficial de la Unión Europea. (17 de Abril de 2019). Reglamento (UE) 2019/881 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación.
Obtenido de https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32019R0881&from=PL
[12] Diario Oficial de la Unión Europea. (14 de Diciembre de 2022). Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. Obtenido de https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32022L2555
[13] Diario Oficial de la Unión Europea. (14 de Diciembre de 2022). Reglamento 2022/2554 sobre la resiliencia operativa digital del sector financiero.
Obtenido de https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32022R2554
[16] Instituto Nacional de Ciberseguridad (INCIBE). (2022). Balances de Ciberseguridad.
Obtenido de https://www.incibe.es/sites/default/files/paginas/que-hacemos/balance_ciberseguridad_2022_incibe.pdf
[17] Ministerio del Interior. (2013). Balances e Informes. Obtenido de Avance de los datos estadísticos de 2013 relativos a la cibercriminalidad: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2013/Avance-datos-ciberciminalidad-2013.pdf
[18] Ministerio del Interior. (2014). Balances e Informes. Obtenido de Informe 2014 - Cibercriminalidad: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2014/Informe-sobre-Cibercriminalidad-2014.pdf
[21] Ministerio del Interior. (2015). Balances e Informes. Obtenido de Informe 2015 sobre Cibercriminalidad: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2015/Informe-Cibercriminalidad-2015.pdf
[22] Ministerio del Interior. (2016). Balances e Informes. Obtenido de Informe 2016 sobre Cibercriminalidad: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2016/Estudio-Cibercriminalidad-2016.pdf
[23] Ministerio del Interior. (2017). Balances e Informes. Obtenido de Informe 2017 sobre Cibercriminalidad en España: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2017/Estudio-Cibercriminalidad-2017.pdf
[24] Ministerio del Interior. (2018). Balances e Informes. Obtenido de Informe 2018 sobre la Cibercriminalidad en España: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2018/Informe-2018-sobre-la-Cibercriminalidad-en-Espana.pdf
[25] Ministerio del Interior. (2019). Balances e Informes. Obtenido de Estudio sobre la Cibercriminalidad en España 2019: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2019/Estudio-sobre-la-Cibercriminalidad-en-Espana-2019.pdf
[26] Ministerio del Interior. (2020). Balances e Informes. Obtenido de Informe sobre la Cibercriminalidad en España 2020: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2020/INFORME-Cibercriminalidad-2020.pdf
[27] Ministerio del Interior. (2021). Balances e Informes. Obtenido de Balance sobre la cibercriminalidad en España 2021: https://www.interior.gob.es/opencms/pdf/prensa/balances-e-informes/2021/Informe_Cibercriminalidad_2021_.pdf
[28] Ministerio del Interior. (2022). Balances e Informes. Obtenido de Informe sobre la Cibercriminalidad en España 2022: https://www.interior.gob.es/opencms/export/sites/default/.galleries/galeria-de-prensa/documentos-y-multimedia/balances-e-informes/2022/Informe-Cibercriminalidad-2022.pdf
Autor: José Antonio Prieto - CISA, ISO 27001 L.A., SFPC, CDPSE
Dpto. de Consultoría
