Fernando Tricas: «Los ciberdelincuentes se han profesionalizado y sofisticado»

-¿Qué importancia tiene la ciberseguridad en un tiempo donde cualquier gestión se encamina a lo ‘online’?

-Lleva siendo notable desde hace tiempo. Con el uso masivo de la tecnología durante la pandemia se ha vuelto necesario para todo el mundo porque, en muchos casos, no estábamos preparados. Nos estamos enfrentando a retos novedosos por la utilización de equipos personales o sin tener a los informáticos a mano.

"Las personas que diseñan este tipo de ataques son inteligentes y lo hacen muy bien. Son mensajes que están pensados para encontrar una reacción rápida y cuando tenemos baja la guardia"

-¿A qué tipo de amenazas concretas nos enfrentamos?

-Las más comunes son el intento de robo de credenciales a través del envío de emails o mensajes de texto. Pero la gran estrella, por el ruido que provoca, es el secuestro de información (ransomware), con el que la información del disco duro queda cifrada y nos piden dinero para poder volver a acceder a la información.

-¿Es sencillo caer en la trampa?

-Es relativamente frecuente. Las personas que diseñan este tipo de ataques son inteligentes y lo hacen muy bien. Son mensajes que están pensados para encontrar una reacción rápida y cuando tenemos baja la guardia.

"Cuando recibimos algún mensaje sospechoso vale la pena esperar, llamar a la entidad que supuestamente nos ha enviado el mensaje o realizar una simple búsqueda en Google"

-¿Cómo podemos evitar ser víctimas de estas estafas?

-Debemos pararnos un momento y pensar. Hace nada, cualquier gestión implicaba ir a una oficina y esperar un tiempo para completar la gestión. El problema que tenemos es que nos dejamos llevar por la inmediatez. Tan solo hace unos días se publicó una estadística que decía que un tercio de los intentos de phishing (hacerse pasar por una entidad para robar información privada) caducaban tan solo a las 24 horas y el enlace dejaba de funcionar.

-¿Estamos preparados para asumir los riesgos de operar en la red?

-Cada vez más. Hay un aprendizaje continuo, una veces por las buenas y otras por las malas, aunque quizás no tan preparados como deberíamos. Por ejemplo, desde el Instituto Nacional de Ciberseguridad (Incibe) se ofrecen todo tipo de consultas para ayudar y asesorar en esta materia. Pero, al final, estamos hechos a golpe de novedad. En el caso de las empresas, el problema es que todavía falta homogeneidad interna y avanzar en una línea que sea coherente y común.

-¿Cómo ha evolucionado la ciberdelincuencia en los últimos años?

-Los atacantes utilizan herramientas cada vez más sofisticadas. En 15 o 20 años los ataques se han profesionalizado y muchas veces buscan accesos laterales. Por ejemplo, nos roban la clave de una red social y, como la utilizamos para otros servicios, buscan entrar a ellos. También hay ataques dirigidos a personas concretas con mensajes personalizados, más allá de los envíos masivos. Esto lo complica todo.

"Son personas con mucha preparación, muy talentosos, que tienen interés y con pocas maneras de ganarse la vida, sobre todo en países asiáticos o de Europa del este"

-¿Puede poner un ejemplo?

-Un contable que, supuestamente, recibe un mensaje de su jefe para hacer una transferencia urgente. ¿Quién le podría decir que no a su jefe? En internet hay mucha información y es sencillo saber quién trabaja en la empresa y cómo llegar al objetivo principal.

-¿Existe un perfil de estos ciberdelincuentes?

-Son personas con mucha preparación, muy talentosos, que tienen interés y con pocas maneras de ganarse la vida, sobre todo en países asiáticos o de Europa del este. Además, viven en países que no persiguen estas acciones porque les puede parecer interesante tenerlo o les parece natural. En lugares como España o Estados Unidos, si la policía detecta movimientos extraños lo investiga y encuentra al culpable.

"Hay que pensar que hay un nicho muy importante en negocios pequeños que no van a contratar a a un informático pero sí van a necesitar a personas que se ocupen de la web y su seguridad"

-¿En qué punto está la formación en ciberdelincuencia a los agentes de policía en España?

-El Centro Universitario de la Guardia Civil, por ejemplo, tiene un grado y enseña cómo enfrentarse a estas situaciones. El problema no es ya tanto del nivel de formación, sino del tamaño y número de efectivos. También hay una colaboración fluida entre los expertos de seguridad informática de las empresas y las Fuerzas y Cuerpos de Seguridad del Estado.

-¿Hay dificultades para formar o encontrar personal cualificado en ciberseguridad en España?

-Sí, porque ya la hay para encontrar informáticos y la ciberseguridad es una especialización, pero es cierto que ha crecido el número de alumnos en la universidad. Hay que pensar que hay un nicho muy importante en negocios pequeños que no van a contratar a a un informático pero sí van a necesitar a personas que se ocupen de la web y su seguridad.