Hace unos días leíamos en prensa que agentes especializados del FBI habían conseguido hackear en la “deep web” y desmantelar a una de las organizaciones criminales más grande del mundo que operan en internet, y que desde junio de 2021 había atacado con ransonware a más de 1.500 empresas e instituciones de 80 paises. Según el propio FBI, este delito provoca pérdidas por importe de unos 2.300 millones de dólares anuales.

El ransonware consiste en “secuestrar” la información que tiene la víctima, robándola y cifrándola, y pedir un rescate para que pueda de nuevo acceder a ella, amenazando que si no paga la pierde. Para ello, los delincuentes han accedido previamente a los sistemas de la victima, sea empresa institución o persona física, sin que haya sido consciente, para poder encriptar la información.  Es el tipo de ciberdelito más frecuente y generalizado.

Otra forma más sofisticada y que genera también ingresos muy elevados a los delincuentes, y pérdidas elevadas a las empresas o instituciones víctimas, es el conocido como “fraude del CEO”.  En este caso, los delincuentes suplantan la identidad de un alto directivo, y de personas clave que se relacionan con la empresa por alguna operación importante en curso, y dan la orden, falsa, a algún responsable interno para que realice una transferencia a una cuenta supuestamente ligada a la operación. Previamente, han robado y suplantado los correos electrónicos de las personas implicadas en la operación, y han conseguido información personal a través de sus móviles para hacer más verosímil la suplantación y elegir el momento del “golpe”.

Con este método se han estafado cantidades elevadas a empresas importantes. Así, los 9 mill. a una farmacéutica gallega al comienzo de la COVID, los 4,5  mill. a una aerolínea española, aunque afortunadamente la policía pudo recuperar el dinero a tiempo, o los 4 mill. a la EMT de Valencia que no se han podido localizar. No obstante hay que destacar que la policía española desmanteló en diciembre una organización criminal que hacía este tipo de fraudes y que había conseguido transferencias por 850.000 euros.

Estas prácticas, y otras que no mencionamos para no alargar este breve texto, deben de hacernos reflexionar sobre algo evidente: ¿quién es el responsable dentro de una empresa u organización, de que estos delitos se lleguen a producir?;  ¿la persona que realizó la transferencia, aunque no fuera consciente del engaño?; ¿los directivos cuya personalidad pudo ser suplantada?; ¿el que cometió un error y facilitó que accedieran?; ¿los administradores que permitieron que la empresa no tuviera una ciberseguridad robusta? ….. Y a esto se une, en el caso de robos de información, las responsabilidades frente a terceros por la información que la empresa o la institución custodiaba y ha sido robada.

Ante ello, es evidente, que hoy día resulta imprescindible reforzar la ciberseguridad, en empresas e instituciones, máxime cuando en los ordenadores y en los móviles llevamos tanta información. ¿Pero cómo podemos protegernos mejor?

En primer lugar, con tecnología. Es necesario implementar soluciones técnicas, o herramientas que permiten que un tercero no acceda a nuestro sistema. Primero fueron los antivirus, hoy hay programas y herramientas más sofisticados y eficaces.

Pero no basta sólo con eso. Es algo necesario pero no suficiente.

Debemos también identificar nuestros riesgos e incorporar ese enfoque a la gestión, sea cual sea la actividad que desarrollemos. Adicionalmente, podemos implementar un sistema de compliance, lo que facilita sin duda el poder gestionar con más confianza.

Pero además de la tecnología y la mejora en la gestión, hay un tercer elemento clave: actuar sobre las personas. Se calcula que entre un 80 y un 90% de los ciberincidentes y de las brechas de seguridad que se producen, son posibles por un fallo o un error humano. Alguien ha hecho “click” donde no debía, o ha respondido un correo no esperado sin comprobar si debía hacerlo. En el mundo físico, el fallo era dejar una puerta o una ventana abierta, o un documento sin guardar. En el digital, basta un “click” inadecuado.

La sensibilización y una formación básica en materia de ciberseguridad son hoy imprescindibles para poder afrontar con éxito y sin graves problemas, la transformación digital de una empresa o institución.  Por eso, desde la World Compliance Association junto con la Escuela de Negocios on line Founderz, hemos creado y lanzamos en breve un Master on line en Ciberseguridad dirigido a personas sin grandes conocimientos de informática. Consiste en un conjunto de videos breves, de entre 5 y 10 minutos, impartidos por expertos y que pueden seguirse fácilmente. La información, para quien esté interesado, está en la web de la  WCA. Esperamos que contribuya a que podamos hacer frente a ese gran este reto que tenemos delante: poder trabajar con confianza reduciendo los riesgos que están ahí.

FERNANDO BALLESTERO DÍAZ – Presidente del Consejo Asesor del Clúster de Ciberseguridad de Madrid. Asesor de Círculo Legal.

Si necesita información adicional sobre nuestros servicios de compliance, no dude en ponerse en contacto con nosotros en abogados@circulolegal.es.