Este artículo es el segundo de la serie en la que analizaremos la ciberdelincuencia a lo largo de los años y como combatirla. Para comprender la relevancia de estos datos, les invitamos a leer la primera parte del artículo, caso de no haberlo hecho previamente.
La ciberdelincuencia en perspectiva
Según los datos del Sistema Estadístico de Criminalidad (SEC) [28], en tan solo tres años, hemos sido testigos de un aumento sustancial en la proporción de ciberdelitos en España. Como se puede ver en el siguiente gráfico, en 2019 estos delitos representaron el 9.9% del total de delitos en el país. Sin embargo, para 2021, esa cifra se disparó a un 15.6%, lo que indica un aumento significativo en la actividad de ciberdelincuencia. Y la tendencia al alza continuó en 2022, cuando los ciberdelitos representaron un 16.1% del total de delitos registrados en España.
En la siguiente tabla, se muestra el detalle de cada uno de los delitos tanto de criminalidad convencional como de cibercriminalidad. Destacan en variación porcentual entre 2021 y 2022 los delitos de Hurto (I.8) y Estafas informáticas (II.12) siendo los aumentos de 30,2% y 26,1% respectivamente.
Este aumento en los ciberdelitos refleja los desafíos emergentes en el ámbito de la ciberseguridad. Con el crecimiento de la tecnología y la digitalización de la sociedad, los ciberdelincuentes están aprovechando nuevas oportunidades para cometer fraudes, estafas y ataques cibernéticos. Es esencial para individuos y organizaciones tomar medidas para protegerse contra estas amenazas, como fortalecer contraseñas, estar alerta ante el phishing y mantener el software actualizado. Además, las autoridades y organismos encargados de hacer cumplir la ley están trabajando arduamente fortaleciendo las leyes y la cooperación internacional en ciberseguridad. También se han establecido unidades especializadas en la lucha contra la ciberdelincuencia.
A pesar de los desafíos, España trabaja continuamente para mejorar su resiliencia cibernética y proteger a sus ciudadanos y empresas en un mundo digital en constante evolución.
La lucha contra la ciberdelincuencia
El Mes Europeo de la Ciberseguridad es una iniciativa crucial de la Unión Europea que se lleva a cabo cada mes de octubre con el propósito de aumentar la conciencia y promover la ciberseguridad en toda la región. Esta campaña anual se ha convertido en un evento importante para educar a ciudadanos y organizaciones sobre las amenazas cibernéticas y cómo protegerse en línea. Durante todo el mes, se realizan una amplia variedad de actividades, desde conferencias y talleres hasta seminarios web, cursos y difusión de herramientas indispensables, todos diseñados para proporcionar información actualizada y buenas prácticas en ciberseguridad [14].
El Mes Europeo de la Ciberseguridad es más que una campaña de concienciación [15]; también se alinea con la Ley de Ciberseguridad de la UE [11] y las disposiciones relacionadas con la sensibilización y la educación. En virtud de esta legislación, la Agencia de Ciberseguridad de la UE (ENISA) es responsable de coordinar y organizar estas campañas en cooperación con los Estados miembros y las instituciones de la UE. Esto subraya la importancia de la colaboración a nivel europeo para abordar los desafíos en constante evolución de la ciberseguridad y fortalecer la resiliencia cibernética en toda la Unión Europea. El Mes Europeo de la Ciberseguridad se ha convertido en una herramienta efectiva para promover el conocimiento y la acción en la lucha contra las amenazas cibernéticas. Todas estas actividades se alinean con las distintas estrategias de ciberseguridad nacional e internacional en vigor.
Hay que tener en cuenta que para ser ciberseguros es necesario aunar los esfuerzos tanto en el ámbito personal y laboral. Por un lado, en el ámbito personal es esencial para proteger la identidad y la privacidad en línea, ya que los ciberdelincuentes pueden robar información personal valiosa como números de seguridad social, direcciones y números de tarjeta de crédito. Ayuda a prevenir el ciberacoso, particularmente relevante para jóvenes y adolescentes. También protege datos sensibles, como fotos y documentos almacenados en línea, para evitar pérdidas o robos, y previene fraudes, como el phishing, que podrían resultar en la pérdida de dinero o la divulgación de información personal. Y por otro lado, en el ámbito profesional la ciberseguridad desempeña un papel crucial al proteger los datos empresariales y la propiedad intelectual, ya que la pérdida de estos activos puede tener consecuencias devastadoras para una organización. Además, garantiza la continuidad de las operaciones comerciales al prevenir interrupciones causadas por ciberataques y asegura la disponibilidad de servicios. Es esencial para el cumplimiento de regulaciones estrictas en diversas industrias, que requieren la protección de datos y la notificación de brechas de seguridad. Ayuda a preservar la reputación de las organizaciones y la confianza de los clientes. Asimismo, también se debe extender a la cadena de suministro, asegurando la organización contra amenazas que puedan tener sus proveedores.
Elementos clave de ciber protección
Si nos centramos más específicamente en la ciberseguridad empresarial, hay que saber que lo esencial es proteger la disponibilidad, integridad y confidencialidad de los datos (en algunas ocasiones también la autenticidad y la trazabilidad) y la continuidad de sus operaciones.
Estar alineados con marcos de buenas prácticas y/o disponer de ciertas certificaciones de seguridad pueden ayudar a cubrir aspectos indispensables de la estrategia integral de ciberseguridad que proteja a las organizaciones contra las amenazas cibernéticas en constante evolución. A continuación, se detallan algunos de los aspectos más relevantes para tener en cuenta:
- Políticas de seguridad: Disponer de un marco normativo que establezca unas políticas claras, procedimientos, estándares e instrucciones técnicas de seguridad que rijan el uso de los sistemas de información y el tratamiento de los datos.
- Modelo de las 3 líneas de defensa: Implementar un enfoque que involucre a la alta dirección, la gestión intermedia y el personal operativo en la gestión de riesgos y la ciberseguridad, segregando las tareas en: la gestión operativa (1 línea), el cumplimiento (2 línea) y la auditoría interna (3 línea).
- Mecanismos de control en los sistemas de información, infraestructuras y redes: Utilizar mecanismos de control como firewalls, sistemas de detección de intrusos y sistemas de prevención de amenazas para proteger la red y los sistemas.
- Gestión de acceso: Aplicar políticas de gestión de acceso para garantizar que solo las personas autorizadas tengan acceso a los sistemas de información y a datos a los que están autorizados.
- Cifrado de datos: Utilizar el cifrado para proteger la confidencialidad de los datos, tanto en tránsito como en reposo y en uso.
- Actualizaciones y parches: Mantener sistemas y software actualizados con los últimos parches de seguridad para tener bajo control las vulnerabilidades conocidas.
- Respuesta a incidentes: Tener un plan de respuesta a incidentes que establezca cómo abordar y mitigar los ciberataques cuando ocurran. Realizar ejercicios de simulación ayuda en gran medida al entendimiento y automatización de las tareas.
- Monitorización y análisis de registros: Supervisar y analizar los registros de eventos de seguridad para detectar actividades sospechosas o anómalas. Utilizar herramientas de correlación de eventos y la definición de los casos de uso correspondientes ayudan a tratar la respuesta a estos registros de forma no solo eficaz sino también eficiente.
- Seguridad en la nube: Implementar medidas de seguridad en la nube para proteger los datos y aplicaciones alojados en entornos de nube.
- Formación y concienciación: Proporcionar formación en ciberseguridad a los empleados para aumentar su concienciación y reducir el riesgo de ataques de ingeniería social. Exigir dicha formación también a los proveedores de servicio, incluyendo no solo los estándares de buenas prácticas sino también los requisitos de la propia organización.
- Pruebas de penetración y escaneos de vulnerabilidades: Realizar este tipo de ejercicios de forma regular para identificar y solucionar elementos y configuraciones inseguras en la red y los sistemas de información.
- Evaluación de riesgos: Realizar evaluaciones de riesgos periódicas para identificar amenazas y vulnerabilidades y priorizar su mitigación. Aunque este aspecto se encuentra incluido en la segunda línea de defensa ya comentada, es importante remarcarlo y tenerlo muy presente, ya que una gran parte de los aspectos de ciberseguridad estarán orientados al riesgo y versarán en disminuir precisamente los riesgos potenciales por debajo del umbral tolerado por la organización.
- Recuperación de desastres y continuidad de negocio: Desarrollar planes de recuperación de desastres y continuidad de negocio para minimizar el impacto de los ciberataques y otros incidentes. Del mismo modo que la respuesta a incidentes, es importante probar periódicamente estos aspectos de continuidad.
- Seguridad móvil: Implementar políticas de seguridad para dispositivos móviles y aplicaciones para garantizar la protección de datos corporativos.
- Servicios profesionales expertos: Contratar expertos en ciberseguridad o empresas de servicios de ciberseguridad, como por ejemplo ISecAuditors [17], para evaluar y fortalecer la seguridad de la organización en todos los aspectos anteriores mencionados.
Conclusión
Como se ha desarrollado en este artículo, estamos siendo testigos de que la cibercriminalidad es una problemática en auge que se debe combatir con estrategias a corto, medio y largo plazo. Todos estos datos no dejan de ser a la vez una evidencia y un recordatorio de que la ciberseguridad debe ser una prioridad constante en nuestra sociedad, ya que los actores maliciosos representan una amenaza para nuestra integridad y socava la confianza en la economía digital.
Solo a través de un enfoque holístico y una inversión continua en ciberseguridad podremos enfrentar con éxito este desafío en evolución constante y asegurar un entorno en línea seguro y confiable para las generaciones futuras.
Referencias
[11] Diario Oficial de la Unión Europea. (17 de Abril de 2019). Reglamento (UE) 2019/881 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación.
Obtenido de https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32019R0881&from=PL
[14] European Cybersecurity Month. (s.f.). European Cybersecurity Month.
Obtenido de https://www.cybersecuritymonth.eu/
[15] Gabinete de la Presidencia del Gobierno. (01 de Octubre de 2023). Departamento de Seguridad Nacional.
Obtenido de Sala de prensa: https://www.dsn.gob.es/es/actualidad/sala-prensa/octubre-mes-europeo-ciberseguridad
[17] Internet Security Auditors (ISecAuditors). (2023).
Obtenido de https://www.isecauditors.com/
[28] Ministerio del Interior. (31 de Diciembre de 2022). Sistema Estadístico de Criminalidad. Obtenido de Balance trimestral de Criminalidad 2022, 4º Trimestre. Comunidades y Ciudades Autónomas: https://estadisticasdecriminalidad.ses.mir.es/publico/portalestadistico/portal/datos.html?type=pcaxis&path=/DatosBalanceAnt/20224/&file=pcaxis
José Antonio Prieto
CISA, ISO 27001 L.A., ISO 22301 L.A., SFPC, CDPSE
Consultor de Seguridad
Depto. de Consultoría