En guardia frente al ciberdelito
Muchos usuarios y empresas ignoran todavía las normas básicas de seguridad informática y carececen de protocolos para protegerse del delito tecnológico y del ciberfraude en Internet
El fraude financiero, la revelación de secretos, la fuga de información y la competencia desleal no son amenazas nuevas para las empresas, pero la digitalización de los entornos de trabajo está facilitando que se cometan este tipo de delitos. Las empresas están ahora más expuestas a los riesgos tecnológicos. Aun así, muchas carecen de protocolos de actuación frente a estos y suelen reaccionar después de que la seguridad se haya comprometido.
El incremento de los riesgos tecnológicos está propiciando la aparición de juristas especializados en nuevas tecnologías y empresas de investigación digital e informática forense, como Evidentia. Según esta empresa de investigación digital, el desconocimiento de los riesgos tecnológicos en las empresas es bastante generalizado. Desde el uso de los escáneres en red, que al digitalizar cualquier documento lo convierten en un documento pdf sin proteger que se coloca en un servidor al que todo el mundo puede acceder, hasta el uso generalizado de memorias USB sin ningún registro de los archivos que se copian en la memoria.
Xavier Gómez, policía local en Malgrat de Mar (Barcelona) y organizador de un curso de tecnología para policías, advierte de que el problema no solo está en lo que puede extraerse de un ordenador, sino en lo que puede introducirse en él. “Es muy fácil perjudicar a una persona copiando pornografía infantil en su ordenador y denunciándola después”, afirma. Aunque este tipo de operaciones dejan rastro, “las pruebas de informática forense necesarias para descubrirlo llevan tiempo y son costosas, y el daño ya está hecho”, concluye.
Desconocimiento de la legalidad
Por otro lado, existe un gran desconocimiento de la legalidad en el mundo digital. “Es fácil pensar que porque algo es técnicamente realizable simplemente puede hacerse, pero no es así. A veces se nos presenta alguien con el ordenador de su mujer para que lo revisemos, sin ninguna conciencia de que es totalmente ilegal”, afirma José Navarro, forense informático en Evidentia. También a Núria Mas, organizadora del curso de seguridad informática para policías junto con Xavier Gómez, le han pedido en varias ocasiones que instale una aplicación de las denominadas keyloggers, que permiten “espiar” al usuario registrando todo lo que teclea y tomando imágenes de las pantallas que visita.
LLEVARSE LA AGENDA DE LA EMPRESA EN UNA MEMORIA USB EL ÚLTIMO DÍA DE TRABAJO ES UN DELITO PENAL DE APROPIA-CIÓN INDEBIDA QUE PUEDE ACABAR EN PRISIÓN
No importa que se trate de unos padres preocupados por un posible acoso sexual a través de la red. “Siempre hay un límite y cada caso es un mundo, hay que ver dónde está la línea roja”, advierte Navarro. En los casos como un posible mal uso del correo electrónico por un empleado o pruebas para descubrir y acusar a un socio des-leal, si se obtienen de este modo “nos arriesgamos a ir a juicio y a tener problemas. No es un delito civil o mercantil, es un delito penal. El delito de apropiación de secretos se pena con entre uno y cuatro años, y de dos a cinco la revelación”, recuerda el forense informático, “y es tan fácil de cometer como ese gesto tan extendido de copiar y llevarse la agenda de la empresa en una memoria USB el último día de trabajo. Y hay que recordar que el desconocimiento de la ley no exime de su cumplimiento”.
Hasta ahora, el Código Penal español jamás había incluido la posibilidad de que las personas jurídicas fueran responsables penalmente”, advierte Jordi Ortega, director jurídico de la consultora Consulting Group, especializada en derecho de las nuevas tecnologías de la información y la comunicación. Por ello, “las consultoras de seguridad trabajamos en la generación de protocolos de actuación que nos permitan proteger a las personas jurídicas de hechos delictivos cometidos por personas físicas que dependan de ellos”, afirma Ortega.
Las medidas de protección no tienen por qué ser costosas. Según Navarro, “hay medidas sencillas que pueden ser muy efectivas. No sirve de nada instalar un cortafuegos carísimo en todos los ordenadores de la empresa si después no se actualiza o si alguien lo desprotege porque necesita hacer un cambio en la configuración del ordenador”. Para Ortega, “falta una cultura de documentar y acreditar las relaciones que nos unen y especialmente en el entorno digital, en el que cualquier resbalón puede tener repercusiones serias”.
Para las empresas de ingeniería, Navarro propone preguntarse quién se preocupa de los temas de propiedad intelectual, cómo protegen sus productos, si hay alguna persona encargada de registrar las patentes, marcas y planos, dónde se guardan los planos de los diseños… Pero sobre todo, ambos recomiendan que las empresas creen una oficina o comité de riesgos que se reúna unas horas al mes y siga un programa pactado para mantener todos los temas de seguridad y discutir todos los incidentes, entre ellos y en especial la seguridad de la información, cuya sustracción puede representar para la empresa una importante pérdida de dinero.
Formación para policías y juristas
“En una tarde es fácil encontrar en la red las instrucciones para cometer un cibercrimen, y no hace falta ser un experto”, dice Núria Mas, de 3enraya Informàtics, organizadores del curso de formación en cibercrimen, hacking y seguridad informática puesto en marcha en colaboración con la International Police Association, la Policía Local de Malgrat de Mar, Evidentia Investigación Digital, Consulting Group y el Máster en Criminalística de la Universidad Autónoma de Barcelona. Según el estudio Ciberdelitos: el impacto humano, publicado por la compañía Norton el pasado año, el 65% de los adultos de todo el mundo fueron víctimas de un ciberdelito.
La matriculación en el curso está restringida a cuerpos de seguridad y juristas. Entre otras habilidades, los asistentes aprenden técnicas de hacking ético o hacking puesto al servicio de una buena causa, en este caso, cómo utilizar un virus informático para neutralizar el anonimato tras el que actúan los acosadores sexuales a menores en la red y poder detenerlos. El ponente de este módulo, Juan Antonio Calles, es creador de Flu Project junto con Pablo González y ha prestado su apoyo técnico en operaciones de hacking ético a la policía colombiana que llevaron a la identificación del acosador de una menor de 14 años.
Pero el cibergrooming, que es como se conoce la práctica de acoso sexual online a menores, es solo uno de los muchos cibercrímenes a los que está expuesto cualquier usuario de Internet. La red es en este momento una especie de salvaje Oeste por el que campan todo tipo de amenazas: actividades de piratas informáticos, ciberacosadores, mafias organizadas que venden redes de ordenadores zombis y software de encargo para delincuentes, ciberguerras, virus que toman el control del ordenador, códigos informáticos maliciosos, fraudes en ventas en línea, robo de contraseñas, venta por lotes de tarjetas de crédito robadas, apropiación de identidades en redes sociales, acosadores sexuales, fraudes online con tarjetas de crédito, estafas como las loterías online, ofertas de empleo fraudulentas, phishing… y todo lo que da de sí la imaginación del delincuente y la ingenuidad del usuario desprevenido.
Crimen invisible y organizado
A diferencia del crimen en el mundo real, los delitos informáticos y online no son tangibles y visibles. Esto hace que “muchos usuarios no sean conscientes de la importancia de tomar unas mínimas medidas de seguridad, como instalarse un antivirus actualizado, si es posible, a diario”, afirma Mas. La organizadora del curso se asombra también de los innumerables datos personales que los usuarios publican en las redes sociales. Para los investigadores policiales, redes sociales como Facebook son una auténtica mina de información, pero también lo son para los ciberdelincuentes. Durante la sesión formativa se mostraron sencillas técnicas de rastreo en Internet que permiten componer el rompecabezas de la identidad de una persona y, a partir de ahí, llegar a conocer información como su domicilio, cuándo está fuera de casa o sus datos bancarios.
LAS EMPRESAS DE INGENIERÍA DEBEN VIGILAR LOS TEMAS DE PROPIEDAD INTELECTUAL, REGISTRAR LAS PATENTES, LAS MARCAS Y LOS PLANOS
Según Xavier Gómez, las mafias que pueden encontrarse en la red son grupos de criminales organizados que actúan en ambos sentidos. Tienen infraestructura para robar tarjetas de crédito que luego venden y a la vez proporcionan a quienes las compran modos de ocultar el dinero robado de las tarjetas, generalmente en cuentas en paraísos fiscales. Así es prácticamente imposible localizar a quienes saquean las tarjetas. Esto, sumado a las distintas legislaciones internacionales y a la dificultad de tramitar la colaboración entre Estados, entorpece enormemente la identificación y detención de los cibercriminales.
Además, la conexión mediante servidores proxy, que es la utilizada en Internet, lentifica la identificación del país desde donde se conecta el delincuente. “Uno puede estar físicamente en Barcelona, salir en un servidor de México y acabar conectándose desde Rusia”, afirma Gómez. Por ello, policía y jueces se ven en la necesidad de formarse para responder a la creciente tecnificación del crimen. Gómez cree que aunque los distintos cuerpos policiales tienen unidades especializadas en delitos tecnológicos, cada vez será más necesaria una formación básica en temas de tecnología, aunque estos contenidos aún no se hayan incorporado a las escuelas de policía.