De los más de 470.000 ciberdelitos que hubo en 2023, el 90% fueron estafas informáticas, según Interior

La criminalidad aumentó en España un 5,9% en el año 2023 arrastrada por el alza de la ciberdelincuencia, que fue del 25,5%, aunque también por el de los delitos contra la libertad sexual, con un aumento del 15%.

Según el balance de criminalidad del 2023, publicado por el Ministerio del Interior, el año cerró con 2.459.659 infracciones penales, de las que 1.989.271 corresponden a la delincuencia convencional (un 2,1 % más que en 2022) y 470.388 son ciberdelitos.

De ellos, el 90% son estafas informáticas, que crecen un 27% con respecto al año anterior. Interior destaca que en ocho años este tipo de estafas han aumentado un 508%, fruto sobre todo de la falta de políticas de prevención de empresas y organismos públicos y de la carencia de planes claros de respuesta a incidentes, en un panorama empresarial donde el tejido empresarial está formado en su totalidad por pymes, con pocos recursos.

Otro elemento en el que coinciden los expertos consultados por Economist & Jurist es en el papel de las herramientas de inteligencia artificial (IA), en la doble faceta de ayudar a prevenir estos hechos delictivos, ahora más sofisticados porque algunos de ellos se apoyan en herramientas de IA para generar que el fraude sea imperceptible realmente.

Replantear lo que se está haciendo

Para Francisco Pérez Bes, socio de Ecix Group y exsecretario general de INCIBE, “ahora una vez lejana la época Covid, donde la conectividad y el teletrabajo aumentaron considerablemente la exposición a este tipo de delitos, parece necesario replantearse la eficacia de las actuales medidas de concienciación y alfabetización frente a este tipo de amenazas, que no sólo no logran reducirse, sino que se multiplican con el consiguiente daño individual, pero también global, a la economía nacional”.

A su juicio, “entre las principales causas se pueden destacar la escasez de recursos (técnicos y humanos) con los que cuentan las Fuerzas y Cuerpos de Seguridad del Estado a la hora de investigar y perseguir este tipo de delitos. Adicionalmente, las pocas condenas que se logran han consolidado una sensación de impunidad a la hora de cometer delitos por Internet, lo que supone un efecto llamada que deriva hacia el cibercrimen a delincuentes tradicionalmente enfocados en otras áreas”.

En su opinión “a nivel legal, la modificación de la Ley de Enjuiciamiento Criminal y la previsión de que se archiven aquellos delitos sin autor conocido, también ha desincentivado a las víctimas, ya que la policía ha interpretado que los delitos a distancia pueden ser considerados como de autor desconocido (cuando lo que son es de autor temporalmente no identificado), lo que impide que tales denuncias lleguen a fiscalía y que, por tanto, se puedan iniciar investigaciones sobre determinadas cuestiones”.

Francisco Pérez Bes cree que los datos suponen una tendencia preocupante a la vista de un horizonte, marcado por la inteligencia artificial, donde la tecnología facilita, aún más, la comisión de fraudes y engaños. (Imagen: Ecix Group)

Desde su punto de vista “hay que recordar que este tipo de delitos no son exclusivos de las personas físicas, sino que cada vez es más habitual que impacten en las empresas, especialmente pequeñas y medianas cuyo nivel de sensibilización y ciberseguridad suele ser más bajo, y donde las aseguradoras dejan ya, en muchas ocasiones, de ofrecer una cobertura adecuada a determinados tipos de daños provocados por el cibercrimen”.

“Sin embargo, la normativa europea (de momento NIS2 y DORA) exige tener que justificar una formación adecuada en buenas prácticas de identificación y gestión de ciberriesgos, y de implementación de políticas, no sólo a las entidades sujetas a dichas normas, sino también a sus proveedores, lo que de facto obliga a cualquier empresa a implementar medidas suficientes y adecuadas para salvaguardar sus activos” comenta.

Para este jurista “estos datos suponen una tendencia preocupante a la vista de un horizonte, marcado por la inteligencia artificial, donde la tecnología facilita, aún más, la comisión de fraudes y engaños. Y si los datos muestran una situación de vulnerabilidad tal grande, debemos prepararnos para estadísticas aún peores el próximo año”.

Hay que anticiparse a los delincuentes

Javier Puyol,  presidente de la nueva Sección de Protección de Datos y «Big Data» del ICAM, y socio director de la firma Puyol Abogados & Partners, destaca que “el uso de las nuevas tecnologías, especialmente de los medios informáticos, de internet, pero también de la inteligencia artificial, ha determinado que los ciberdelincuentes cuenten con un poder inmenso a la hora de desarrollar sus actividades delictivas, aprovechándose de las vulnerabilidades de terceros detectadas tanto en ordenadores como en demás instrumentos electrónicos tan difundidos en la actualidad entre la población y en las propias empresas”.

Javier Puyol apuesta por la especialización de los órganos judiciales para luchar contra el cibercrimen y mejorar las investigaciones policiales. (Imagen: Javier Puyol)

Este jurista recuerda que “hay que reconocer que la ciberdelincuencia es cada vez un negocio más lucrativo, por lo que la tendencia de comisión de estos hechos delictivos tiene que ir necesariamente en aumento, y cada vez se hace más necesario poner límites a este tipo de actuaciones, que además están vinculadas a otras actuaciones delictivas colaterales, como puede ser el blanqueo de capitales, o la evasión en el pago de impuestos”.

Sobre el plan de choque para mitigar el impacto de estos ciberdelitos, Pujol es partidario de “realizar inversiones para intentar frenar este tipo de actuaciones de carácter delictivo. Su proliferación, y el más que considerable aumento de los daños y perjuicios que estas acciones están ocasionando a todo tipo de empresas y organizaciones, pero también a los particulares, determinan que es temerario no afrontar un plan de choque realista y eficaz”.

En cuanto a la lucha contra el cibercrimen, este experto cree que “cada vez se echa más de menos la existencia de instancias supranacionales que luchen decididamente contra este tipo de delincuencia, en la que en numerosas ocasiones el poder del Estado para combatirlas es muy limitado, e infructuoso”.

A nivel local considera que, “en el plano puramente local, se hace imprescindible especializar a órganos judiciales en este ámbito de actuación, con la correspondiente dotación de profesionales muy especializados y en número suficiente para poder hacer frente a esta tipología de casos en que se materializa este tipo de delincuencia, y al mismo tiempo, de los medios materiales precisos para el desarrollo de las investigaciones».

En cuanto al uso de la IA en este tipo de situaciones fraudulentas, Javier Puyol reconoce que el desarrollo tecnológico propiciado por la IA va a jugar a favor y en contra de la erradicación de este tipo de hechos vinculados con la ciberdelincuencia”

Hay que apostar por la prevención

Cristina Muñoz-Aycuens, director at Forensic (DFIR) de Grant Thornton España, confiesa que parte de su trabajo pasa por la detección y minimización del impacto de ciberincidentes en las empresas: “Cualquier estrategia de seguridad junto al CISO y al DPO, e incluso con el Compliance Officer, suele trabajar de forma coordinado estos expertos forenses”.

Desde su punto de vista “es previsible que estos datos sigan creciendo por la transformación que llevan a cabo empresas y organizaciones públicas donde el uso de medios electrónicos permite a los ciberdelincuentes realizar su trabajo en un entorno en el que la trazabilidad de su identidad es más complicada de detectar en medios digitales. Es el momento de incrementar las medidas preventivas y de concienciación para frenar esta escalada de ciberdelitos”.

Para esta experta “se invierte muy poco en prevención. Las pymes, que son las más vulnerables, creen que nunca van a ser atacadas y son las que menos políticas y estrategias de seguridad tienen en marcha. En un país como el nuestro somos más reactivos en muchas facetas; salvo las empresas más grandes que invierten más en prevención. Sin embargo, en países como Estados Unidos se venden muchos servicios de consultoría en materia de prevención”.

Junto a ello también cree que “las organizaciones deben invertir en concienciación. Es fundamental formar a todos los profesionales de cada entidad para que realmente conozcan bien las situaciones de fraudes en las que pueden ser inmersos y no sean un elemento por el que pueden entrar los ciberdelincuentes. Todavía los informes de consultoras como Gartner señalan que el factor interno es clave en la mayor parte de estos ciberdelitos por no estar preparados realmente”.

Cristina Muñoz-Aycuens advierte que las organizaciones invierten poco en prevención y que pocas de ellas tienen un plan de respuesta sobre incidentes. (Imagen: Grant Thornton)

Desde su punto de vista la llegada de directivas como NIS2 o Reglamento Dora, que se aplica en el sector financiero y que obligan a las empresas a ser más proactivas en sus estrategias de ciberseguridad, pueden ayudar a mitigar el impacto de este tipo de incidentes. Esta nueva normativa obligará a las empresas a tener planes de respuestas. Los últimos informes señalan que el 70% no tienen ese plan de respuesta con lo cual la gestión a esos incidentes no es la más adecuada”.

Para esta experta “las estafas informáticas son más sofisticadas, como es el caso de la estafa del CEO. Es complicado discernir si estamos recibiendo un correo electrónico incorrecto o no. El uso de la IA a ese tipo de estafas las hace en algunos casos imperceptibles. Se usan deepfakes con cual puedes crear que realmente estás hablando con tu jefe directo”.

Reflexión sobre el estado actual

Por su parte, Manuel Asenjo, director de IT de Broseta, resalta que “la escalada en la incidencia de ciberdelitos en nuestro país no es un fenómeno aislado, sino que es el reflejo de una tormenta perfecta conformada por la digitalización acelerada de servicios; la pandemia que nos obligó a migrar aún más nuestra vida al espacio digital; y una laguna en la educación digital, tanto en el ámbito profesional como personal”.

A su juicio “este panorama está siendo el caldo de cultivo ideal para que los ciberdelincuentes, armados con herramientas cada vez más sofisticadas, encuentren terreno fértil para sus fechorías”.

Frente a esta realidad, este experto en seguridad de la información se pregunta cuál es el plan de choque que debemos activar: “La respuesta yace en una estrategia multifacética que abarque no solo la mejora de nuestras infraestructuras tecnológicas, sino también la educación y concienciación en ciberseguridad”.

Manuel Asenjo subraya la necesidad de una estrategia multifacética que abarque no solo la mejora de nuestras infraestructuras tecnológicas sino también la educación y concienciación en ciberseguridad”. (Imagen: Broseta)

Desde su punto de vista “es imperativo fortalecer nuestras defensas internas con tecnologías de punta y protocolos estrictos de seguridad, pero sin olvidar el factor humano. La capacitación continua de nuestro equipo, y por extensión de nuestros clientes, en buenas prácticas de ciberseguridad es fundamental para construir un escudo robusto contra estas amenazas”.

“Por otra parte, es necesaria una mayor colaboración público-privada para que los delincuentes vean que vamos todos en el mismo barco. Es interesante ver que se va produciendo un crecimiento de agencias de ciberseguridad y clústeres regionales y locales, para ayudar a entidades y empresas con esta lacra”, comenta.

Sobre las estafas informáticas a vigilar, Asenjo recuerda que “en este momento, nos enfrentamos a un arsenal diverso de estafas informáticas, siendo el phishing, el ransomware, y el fraude de CEO, las más prevalentes, y que el uso de la IA ayuda a utilizar estafas más sofisticadas que imitan las comunicaciones legítimas existentes”.

A su juicio, “estas técnicas, aunque no son nuevas, han evolucionado en complejidad y sofisticación, aprovechando el contexto actual de incertidumbre y la sobresaturación informativa para engañar a sus víctimas. La vigilancia constante y la educación son nuestras mejores armas contra estas amenazas y no debemos cansarnos de repetirlo”.

Desde su punto de vista “la clave está en una inversión sostenida en innovación y en una colaboración estrecha entre el sector legal, tecnológico, y las autoridades, para estar siempre un paso  por delante de los ciberdelincuentes. La ciberseguridad no es solo una cuestión de tecnología; es una cuestión de voluntad, de educación y de responsabilidad compartida. Y en esta batalla, todos tenemos un papel que desempeñar”.