¿Cuánto nos cuesta el cibercrimen?

Ataques informáticos, malware, ransomware, phishing, robo de información personal, suplantación de identidad… Éstos son solo algunos de los términos que escuchamos con mayor frecuencia relacionados con las actividades delictivas en el ciberespacio, a las cuales tan sólo les prestamos atención a través de alguna de las noticias que aparecen periódicamente en los medios de comunicación generalistas. De hecho, la mayor parte de las noticias relacionadas con el ámbito digital se centran en los peligros de Internet (dejando a un lado las ventajas que nos aporta al conjunto de la sociedad), tratando estas cuestiones tan solo de forma superficial y sin entrar en más detalles.

Desafortunadamente estos peligros no son casos aislados, sino que gran parte de las actividades ilícitas se han trasladado, desde hace años, a la Red. Como no podía ser de otra forma, los delincuentes también han aprovechado las oportunidades que les ofrece el entorno digital y la ingente cantidad de información que circula por la Red para realizar sus acciones. Tal ha sido el crecimiento de estas actividades en el ciberespacio que la mayor parte de los análisis coinciden en señalar que estas actividades no han hecho más que crecer en los últimos años, entre otras razones, por el uso generalizado y por la mayor dependencia de nuestras sociedades respecto a Internet. Pero hay que señalar que la mayoría de estas investigaciones se centran en el ámbito empresarial y en el coste que suponen para las empresas, a la vez que la incorporación de las nuevas tecnologías ha permitido a las empresas ser más eficientes o tener una presencia global como nunca antes en la historia. Entonces, ¿cuál es el coste que tiene para las empresas el llamado cibercrimen?

Según un informe publicado a principios de año por la compañía de seguridad informática McAfee y el think tank estadounidense Center for Studios and International Studies (CSIS), se estima que el impacto económico mundial del cibercrimen oscilaría entre 445.000 y 600.000 millones de dólares, es decir, alrededor del 0.8 del PIB mundial, tan sólo por detrás de la corrupción gubernamental y el narcotráfico. Estos datos representarían un importante aumento en comparación a un estudio similar realizado por los mismos autores en el año 2014, en el que cuantificaban estas pérdidas entre 345.000 y 445.000 millones de dólares, lo que supondría un aumento aproximado de entre el 29% y el 35%. Pero puntualicemos algunos aspectos de estos datos.

En primer lugar hay que tener en cuenta que estas cifras son tan solo aproximaciones debido a la enorme dificultad que representa cuantificar cualquier ámbito de una actividad ilícita, a lo que se suma la falta de registros por parte de los cuerpos y fuerzas de seguridad y de los gobiernos. Tampoco hay que confundir el coste que estas actividades representan para las empresas o el impacto que tienen en la economía mundial, con los beneficios que obtiene el cibercrimen. Los datos expuestos hacen referencia al  coste económico que estas actividades tienen para las empresas, entre los que encontramos los costes que suponen asegurar las redes, adquirir “ciberseguros”, los costes de oportunidad, el pago del ransomware o las pérdidas que implican el robo de la propiedad intelectual, pero en ningún caso las cantidades anteriormente indicadas hacen referencia a los beneficios del crimen online. También es interesante puntualizar que el cibercrimen es tan sólo una parte de la totalidad de las actividades ilícitas que se realizan en el ciberespacio y que, por lo tanto, las estimaciones se centran en un ámbito concreto. Aunque el robo de información o el fraude comparten un espacio común de actuación con otras actividades ilícitas (como es Internet), aquí no se han tenido en cuenta actividades como la venta de drogas, de armas o la pornografía infantil, por citar algunas.

Por otro lado, es habitual señalar que Internet elimina las fronteras tradicionales y que reduce la distancia entre dos personas, organizaciones o países. Y éste es un claro ejemplo. El ciberespacio aporta a los delincuentes el medio para realizar sus actividades desde cientos, miles de kilómetros, sin tener que estar físicamente en el lugar del delito ni tener que desarrollar complejas estructuras criminales , lo que le aporta otra de las características del ciberdelito, como es el anonimato. Debido a la dificultad que supone rastrear el origen de un ataque informático  para identificar físicamente al presunto delincuente (no sólo a nivel técnico, sino también en tiempo), éste hecho le otorga una imagen de impunidad que difícilmente encontramos en otras actividades ilícitas. Pero, ¿quiénes son estos ciberdelincuentes?

A pesar de la imagen extendida que tenemos del cibercriminal como una persona solitaria, con capucha, delante de un ordenador que ilumina su silueta en medio de la oscuridad y que habitualmente confundimos con un hacker, las distintos análisis coinciden en señalar que no son éstos, sino los Estados, los principales agentes del cibercrimen. De hecho, el informe de McAfee/CSIS señala que el país con una mayor actividad criminal online sería Rusia, seguido de Corea del Norte e Irán, y que sus principales objetivos serían las instituciones financieras. En cuanto a los métodos de ataque empleados, el ransomware sería el más utilizado (consiste en el secuestro del dispositivo por el cual se pide un rescate para desbloquearlo, como ocurrió con WannaCry) y éste se distribuiría principalmente a través del correo electrónico.

Volviendo a las cifras anteriores, el incremento del coste del cibercrimen a nivel mundial se produce mientras los países más desarrollados tecnológicamente invierten cada año más recursos económicos para mitigar sus efectos. Entonces, ¿cómo es posible que aumenten las pérdidas? El citado informe señala algunas de las posibles causas, como serían la rápida adaptación de los criminales a las nuevas tecnologías, la facilidad de realizar determinados ataques informáticos (que se traducen en importantes beneficios) o la actitud despreocupada con la que nos movemos por la Red. Es evidente que para hacer frente a determinados ataques informáticos complejos son necesarios conocimientos avanzados en el ámbito digital, pero gran parte de las advertencias y recomendaciones que realizan las empresas de seguridad informática o los organismos públicos se centran en medidas de protección básicas que la mayoría de usuarios podemos realizar, como es el uso de contraseñas adecuadas, la actualización del software de los dispositivos o la no distribución de información personal a través de las webs o redes sociales. También es importante reiterar que el cibercrimen se aprovecha de la pasividad de los usuarios, ya que en muchas situaciones en las que se produce el robo de información o la suplantación de identidad, ésta no se denuncia, bien porque se desconocen estos hechos o, en el caso de muchas empresas, por temor a que este reconocimiento público tenga repercusiones en su imagen, debido a que puede genera desconfianza entre sus clientes (o potenciales clientes) y sufrir un riesgo reputacional difícilmente cuantificable.

Aunque el cibercrimen no sería la actividad que tendría un coste más elevado, como se ha señalado anteriormente, sí sería la actividad que podría afectar a un mayor número de víctimas, debido a que se calcula que alrededor de la mitad de la población mundial ya tiene acceso a Internet.  Este hecho, unido a que cada año millones de personas se incorporan a la Red, bien a través de sus ordenadores, smartphones, tablets, o más recientemente a través del Internet de las Cosas (es decir, aquellos dispositivos que con  mayor frecuencia se encuentran en nuestros hogares y que tienen conexión a Internet, como los televisores inteligentes, las impresoras o neveras) nos da una idea del campo de acción de los ciberdelincuentes. Debido a la interconectividad actual y al potencial de la Red, abordar el fenómeno del cibercrimen requiere una respuesta conjunta desde el ámbito público y privado, empezando por una mayor concienciación de los peligros de la Red y un uso más responsable de los dispositivos que utilizamos tanto en nuestro ámbito personal como profesional. De lo contrario, continuaremos pagando sus consecuencias.